安全專家甚至相信，真正的攻擊已被偽裝，將世界的關(guān)注從國(guó)家贊助的烏克蘭攻擊轉(zhuǎn)移到惡意軟件爆發(fā)。

Suiche寫道：“我們認(rèn)為，實(shí)際上，這種ransomware實(shí)際上是控制媒體敘事的誘惑，特別是在WannaCry事件之后，吸引了一些神秘黑客小組而不是國(guó)家攻擊者的注意。

Petya Ransomware是否有故障或超智能？

Petya
是一個(gè)令人討厭的惡意軟件，與其他傳統(tǒng)的ransomware不同，它不會(huì)逐個(gè)加密目標(biāo)系統(tǒng)上的文件。




相反，Petya重新啟動(dòng)計(jì)算機(jī)并對(duì)硬盤驅(qū)動(dòng)器的主文件表（MFT）進(jìn)行加密，并使主引導(dǎo)記錄（MBR）不可操作，通過(guò)占用物理磁盤上的文件名，大小和位置信息來(lái)限制對(duì)完整系統(tǒng)的訪問(wèn)。




然后，Petya ransomware采取MBR的加密副本，并用自己的惡意代碼替換它，顯示贖金單，使計(jì)算機(jī)無(wú)法啟動(dòng)。

但是，Petya的這個(gè)新變體不會(huì)保留被替換的MBR的副本，錯(cuò)誤地或有意地將被感染的計(jì)算機(jī)無(wú)法啟動(dòng)，即使受害者獲得解密密鑰。




此外，在感染一臺(tái)機(jī)器之后，Petya ransomware會(huì)掃描本地網(wǎng)絡(luò)，并使用EternalBlue SMB exploit，WMIC和PSEXEC工具快速感染同一網(wǎng)絡(luò)上的所有其他機(jī)器（甚至是完全打補(bǔ)?。?。

不要付錢 你不會(huì)讓你的文件回來(lái)

到目前為止，近45名受害者已經(jīng)在比特幣中支付了10,500美元，希望能夠?qū)⑺麄兊逆i定文件恢復(fù)正常，但不幸的是他們不會(huì)。




這是由于攻擊者設(shè)置的與受害者進(jìn)行通信并發(fā)送解密密鑰的電子郵件地址在爆發(fā)后不久即被德國(guó)供應(yīng)商暫停。

意思是說(shuō)，即使遇難者支付贖金，他們也不會(huì)收回他們的檔案。卡巴斯基研究人員也說(shuō)過(guò)。

“我們的分析表明，受害者恢復(fù)數(shù)據(jù)的希望很小，我們分析了加密程序的高級(jí)代碼，我們已經(jīng)知道，在磁盤加密之后，威脅執(zhí)行者無(wú)法解密受害者的磁盤，”保安公司說(shuō)。

“要解密受害者的磁盤威脅演員需要安裝ID。在以前版本的”類似“ransomware（如Petya / Mischa / GoldenEye）中，此安裝ID包含密鑰恢復(fù)所需的信息。

如果研究人員提出的索賠是正確的，新版本的Petya是破壞性惡意軟件，旨在關(guān)閉和破壞世界各地的服務(wù)，惡意軟件已經(jīng)成功完成了工作。




然而，這仍然是猜測(cè)，但是該病毒主要針對(duì)烏克蘭的多個(gè)實(shí)體，包括該國(guó)的地方地鐵，基輔的鮑里斯波爾機(jī)場(chǎng)，電力供應(yīng)商，中央銀行和國(guó)家電信。




受Petya病毒感染的其他國(guó)家包括俄羅斯，法國(guó)，西班牙，印度，中國(guó)，美國(guó)，巴西，智利，阿根廷，土耳其和南韓。

Petya如何進(jìn)入計(jì)算機(jī)？

根據(jù)Talos Intelligence的研究，不知名的烏克蘭企業(yè)MeDoc可能是昨天全球ransomware爆發(fā)的主要來(lái)源。




研究人員表示，這種病毒可能已通過(guò)惡意軟件更新傳播到稱為MeDoc的烏克蘭稅務(wù)會(huì)計(jì)系統(tǒng)，盡管MeDoc在漫長(zhǎng)的Facebook職位中否認(rèn)了這一指控。

“在更新程序時(shí)，系統(tǒng)不能直接從更新文件感染病毒，”MeDoc 的
翻譯版本讀取。“我們可以爭(zhēng)辯說(shuō)，在更新程序時(shí)，MEDoc系統(tǒng)的用戶不能感染其病毒。

不過(guò)，幾位安全研究人員甚至微軟也同意了Talo的發(fā)現(xiàn)，他說(shuō)MeDoc被破壞，病毒通過(guò)更新傳播。