Petya/NotPetya扮勒索,付多少贖金也無法救回檔案

Petya/NotPetya扮勒索,付多少贖金也無法救回檔案
Photo Credit: Depositphotos
我們想讓你知道的是

有專家發現,日前大規模傳播的惡意軟件Petya/NotPetya並非要勒索金錢,而是清洗檔案。

星期二傳出新型勒索軟件Petya肆虐,由於跟在去年發現的Petya有別,有研究人員視之為新版Petya,亦有人稱為NotPetya、exPetr或Petrwrap。

Petya/NotPetya除了利用上月WannaCry也有使用的漏洞,亦會在入侵電腦後嘗試感染其他網絡上的電腦,即使那些電腦已經修補漏洞仍有機會招,使其威力更強。

一般而言,資訊保安專家均建議勒索軟件受害者不要支付贖金,因為難以保證「綁匪」會守承諾解密檔案。而且今次的Petya/NotPetya跟WannaCry一樣,不會為每位受害人產生一個新的比特幣地址,使黑客難以判斷到底誰已經支付贖金,即使你付了贖金也沒理由相信單憑信任就可以解決這個問題。

Petya/NotPetya黑客要求受害人付上價值300美元的比特幣後,再傳電郵到「wowsmith123456@posteo.net」來確認付款,並取得解鎖檔案用的密鑰。然而電郵服務供應商已經Posteo宣佈他們封鎖了這個電郵地址,黑客再無法讀取及回覆任何訊息,因此付贖金也沒有用。

最重要的是,日前卡巴斯基實驗室的研究人員發現,Petya/NotPetya根本不是勒索軟件,而是「清洗軟件」(wiper)——目標從來不是加密檔案賺贖金,而是單純令受害人無法存取檔案。

卡巴斯基的研究人員指出,在Petya/NotPetya的鎖機畫面上,有提到要把比特幣錢包的編號及「個人安裝鑰匙」(personal installation key)傳到上述電郵。在過往的勒索軟件上,這「個人安裝鑰匙」包含重要資訊,但他們分析程式碼發現,今次Petya/NotPetya的「個人安裝鑰匙」僅以偽亂數產生器製作,沒有任何意義,所以即使黑客收到電郵,也無法幫助受害人解鎖檔案。

另一科技公司Comae Technologies的創辦人Matt Suiche亦獨立得出相同結論。Suiche指出,2016年的Petya修改硬碟的方式,令它可以逆轉其改變,但今次Petya/NotPetya覆寫了主開機記錄(Master boot record)而不另行儲存備份,對硬碟造成永久破壞。他認為Petya/NotPetya是控制媒體報道的誘餌,特別是在WannaCry爆發後,目標是把注意力放在神秘的黑客團體,而非國家資助的黑客。

《路透社》引述一名烏克蘭警方官員指,在該國迅速擴散的Petya/NotPetya主要目標,是該國的電腦基建。該名不願公開身分的高級官員表示,勒索贖金可能只是煙幕,由於無法解密檔案,其真正目的可能是安裝其他惡意軟件。

網絡安全研究公司Information Systems Security Partners(ISSP)曾調查過往針對烏克蘭的網絡攻擊,亦循相同方向調查。ISSP表示,由於很少人真的付出300美元贖金,錢不太可能是今次攻擊的主要目標,反而可能在安排新一波攻擊。ISSP主席Oleg Derevianko接受訪問時提到,在幾乎所有受到感染的機構網絡上並非所有電腦都下線,認為這有可疑,並正嘗試了解為何會留下一些不受影響的電腦。

相關文章︰

資料來源︰