Petya/NotPetya扮勒索，付多少贖金也無法救回檔案

星期二傳出新型勒索軟件Petya肆虐，由於跟在去年發現的Petya有別，有研究人員視之為新版Petya，亦有人稱為NotPetya、exPetr或Petrwrap。

Petya/NotPetya除了利用上月WannaCry也有使用的漏洞，亦會在入侵電腦後嘗試感染其他網絡上的電腦，即使那些電腦已經修補漏洞仍有機會招，使其威力更強。

一般而言，資訊保安專家均建議勒索軟件受害者不要支付贖金，因為難以保證「綁匪」會守承諾解密檔案。而且今次的Petya/NotPetya跟WannaCry一樣，不會為每位受害人產生一個新的比特幣地址，使黑客難以判斷到底誰已經支付贖金，即使你付了贖金也沒理由相信單憑信任就可以解決這個問題。

Petya/NotPetya黑客要求受害人付上價值300美元的比特幣後，再傳電郵到「wowsmith123456@posteo.net」來確認付款，並取得解鎖檔案用的密鑰。然而電郵服務供應商已經Posteo宣佈他們封鎖了這個電郵地址，黑客再無法讀取及回覆任何訊息，因此付贖金也沒有用。

最重要的是，日前卡巴斯基實驗室的研究人員發現，Petya/NotPetya根本不是勒索軟件，而是「清洗軟件」（wiper）——目標從來不是加密檔案賺贖金，而是單純令受害人無法存取檔案。

卡巴斯基的研究人員指出，在Petya/NotPetya的鎖機畫面上，有提到要把比特幣錢包的編號及「個人安裝鑰匙」（personal installation key）傳到上述電郵。在過往的勒索軟件上，這「個人安裝鑰匙」包含重要資訊，但他們分析程式碼發現，今次Petya/NotPetya的「個人安裝鑰匙」僅以偽亂數產生器製作，沒有任何意義，所以即使黑客收到電郵，也無法幫助受害人解鎖檔案。

另一科技公司Comae Technologies的創辦人Matt Suiche亦獨立得出相同結論。Suiche指出，2016年的Petya修改硬碟的方式，令它可以逆轉其改變，但今次Petya/NotPetya覆寫了主開機記錄（Master boot record）而不另行儲存備份，對硬碟造成永久破壞。他認為Petya/NotPetya是控制媒體報道的誘餌，特別是在WannaCry爆發後，目標是把注意力放在神秘的黑客團體，而非國家資助的黑客。

《路透社》引述一名烏克蘭警方官員指，在該國迅速擴散的Petya/NotPetya主要目標，是該國的電腦基建。該名不願公開身分的高級官員表示，勒索贖金可能只是煙幕，由於無法解密檔案，其真正目的可能是安裝其他惡意軟件。

網絡安全研究公司Information Systems Security Partners（ISSP）曾調查過往針對烏克蘭的網絡攻擊，亦循相同方向調查。ISSP表示，由於很少人真的付出300美元贖金，錢不太可能是今次攻擊的主要目標，反而可能在安排新一波攻擊。ISSP主席Oleg Derevianko接受訪問時提到，在幾乎所有受到感染的機構網絡上並非所有電腦都下線，認為這有可疑，並正嘗試了解為何會留下一些不受影響的電腦。

相關文章︰

• 先有WannaCry再來Petya，還不趕快去安裝更新？
• 再有勒索軟件蔓延全球 切爾諾貝爾核電廠中招要手提儀器測輻射
• WannaCry令多人中招，背後的黑客卻無法賺大錢

資料來源︰

• ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (Securlist)
• Petya.2017 is a wiper not a ransomware (Comae Technologies)
• Tuesday’s massive ransomware outbreak was, in fact, something much worse (Ars Technica)
• Global cyber attack likely cover for malware installation in Ukraine: police official (Reuters)
• Petya Ransomware Epidemic May Be Spillover From Cyberwar (Wired)