安全專家甚至相信，真正的攻擊已被偽裝，將世界的關(guān)注從國家贊助的烏克蘭攻擊轉(zhuǎn)移到惡意軟件爆發(fā)。

Suiche寫道：“我們認為，實際上，這種ransomware實際上是控制媒體敘事的誘惑，特別是在WannaCry事件之后，吸引了一些神秘黑客小組而不是國家攻擊者的注意。

Petya Ransomware是否有故障或超智能？

Petya
是一個令人討厭的惡意軟件，與其他傳統(tǒng)的ransomware不同，它不會逐個加密目標系統(tǒng)上的文件。




相反，Petya重新啟動計算機并對硬盤驅(qū)動器的主文件表（MFT）進行加密，并使主引導(dǎo)記錄（MBR）不可操作，通過占用物理磁盤上的文件名，大小和位置信息來限制對完整系統(tǒng)的訪問。




然后，Petya ransomware采取MBR的加密副本，并用自己的惡意代碼替換它，顯示贖金單，使計算機無法啟動。

但是，Petya的這個新變體不會保留被替換的MBR的副本，錯誤地或有意地將被感染的計算機無法啟動，即使受害者獲得解密密鑰。




此外，在感染一臺機器之后，Petya ransomware會掃描本地網(wǎng)絡(luò)，并使用EternalBlue SMB exploit，WMIC和PSEXEC工具快速感染同一網(wǎng)絡(luò)上的所有其他機器（甚至是完全打補?。?。

不要付錢 你不會讓你的文件回來

到目前為止，近45名受害者已經(jīng)在比特幣中支付了10,500美元，希望能夠?qū)⑺麄兊逆i定文件恢復(fù)正常，但不幸的是他們不會。




這是由于攻擊者設(shè)置的與受害者進行通信并發(fā)送解密密鑰的電子郵件地址在爆發(fā)后不久即被德國供應(yīng)商暫停。

意思是說，即使遇難者支付贖金，他們也不會收回他們的檔案。卡巴斯基研究人員也說過。

“我們的分析表明，受害者恢復(fù)數(shù)據(jù)的希望很小，我們分析了加密程序的高級代碼，我們已經(jīng)知道，在磁盤加密之后，威脅執(zhí)行者無法解密受害者的磁盤，”保安公司說。

“要解密受害者的磁盤威脅演員需要安裝ID。在以前版本的”類似“ransomware（如Petya / Mischa / GoldenEye）中，此安裝ID包含密鑰恢復(fù)所需的信息。

如果研究人員提出的索賠是正確的，新版本的Petya是破壞性惡意軟件，旨在關(guān)閉和破壞世界各地的服務(wù)，惡意軟件已經(jīng)成功完成了工作。




然而，這仍然是猜測，但是該病毒主要針對烏克蘭的多個實體，包括該國的地方地鐵，基輔的鮑里斯波爾機場，電力供應(yīng)商，中央銀行和國家電信。




受Petya病毒感染的其他國家包括俄羅斯，法國，西班牙，印度，中國，美國，巴西，智利，阿根廷，土耳其和南韓。

Petya如何進入計算機？

根據(jù)Talos Intelligence的研究，不知名的烏克蘭企業(yè)MeDoc可能是昨天全球ransomware爆發(fā)的主要來源。




研究人員表示，這種病毒可能已通過惡意軟件更新傳播到稱為MeDoc的烏克蘭稅務(wù)會計系統(tǒng)，盡管MeDoc在漫長的Facebook職位中否認了這一指控。

“在更新程序時，系統(tǒng)不能直接從更新文件感染病毒，”MeDoc 的
翻譯版本讀取。“我們可以爭辯說，在更新程序時，MEDoc系統(tǒng)的用戶不能感染其病毒。

不過，幾位安全研究人員甚至微軟也同意了Talo的發(fā)現(xiàn)，他說MeDoc被破壞，病毒通過更新傳播。