来源: 时间:2022-05-13 08:35:07
席卷全球并感染了整个欧洲企业网络的petya网络攻击比最初想象的要糟糕得多。安全研究人员现在得出结论,petya攻击不是勒索软件。如果有人认为这是个好消息,那不是。petya被研究人员称为擦拭器,目的是大规模销毁数据。这个想法从来不是从受害者或企业那里收钱。
研究人员比较了petya的2016和2017版本的代码,并得出结论,最新版本是雨刷。这是由网络安全公司Comae的创始人Matt Suiche首次报道的。他在Medium (blog.com ae.io) 上发布了详细的博客文章,解释了为什么petya是雨刷,而不是勒索软件。网络安全公司卡巴斯基也在另一篇博客文章中得出了同样的结论。
根据Suiche的博客文章,当前版本的petya正在删除,擦除磁盘的所有第一扇区,并导致故意破坏数据。Suiche在他的博客文章中解释了wiper和ransomware之间的区别。他写道,“雨刷只会破坏和排除恢复的可能性。”使用勒索软件,我们的想法总是让受害者付款,然后恢复数据。
根据早期的分析,Suiche得出结论,petya的2017版本也在利用微软系统中的EternalBlue和EternalRomance漏洞。他写道: “在比较了这两种实施方式之后,我们注意到当前实施的大规模感染多个实体乌克兰实际上是一个刮水器,它刚刚破坏了磁盘的25个第一扇区块。”
研究人员的结论是,这种攻击是故意覆盖磁盘上的数据,而这不是在其他任何地方读取或保存的。他说,2016和2017 petya之间的主要区别在于,早期版本以一种可以取回数据的方式修改了磁盘。在新版本中,破坏是不可逆的。
另请阅读: petya网络攻击: 它是如何开始的,它做什么,以及如何保护您的电脑
Suiche还说,这可能是来自一个民族国家的攻击,而不是某个神秘的黑客组织。他认为这是故意企图通过假装这是勒索软件攻击来误导媒体的叙述。 同时,Kaspesky的分析表明,即使付款,磁盘也无法解密。即使有关攻击的消息首次传出,研究公司也警告受害者不要向黑客付款。
卡巴斯基还得出结论,这次攻击是wiper假装是勒索软件。该公司还分析了受害者屏幕上闪烁的安装id,他们说这只是生成随机数据。该公司表示,它不能包含获取解密密钥的信息。结论是攻击者实际上无法解密磁盘。就像自杀一样,卡巴斯基也认为这个想法是破坏,而不是经济利益。
相关推荐
猜你喜欢