據(jù)觀察者網(wǎng)此前報道,席卷全球的勒索病毒在上個月出現(xiàn)了新的變種“Petrwrap”,這種變種病毒在烏克蘭、俄羅斯爆發(fā)并蔓延歐洲。讓人沒有想到的是,病毒爆發(fā)10天不到,就有黑客在網(wǎng)上以25萬美元的價格售賣此病毒的解密鑰匙了。
好奇心日報7月8日報道稱,MalwareTech 若干天之前針對 Windows 電腦的蠕蟲病毒 PetyaWrap(也有人稱為 NotePetya)攻擊案有了新的進展。
上周三開始,有黑客在網(wǎng)上以 100 比特幣的價格(價值約 25 萬美元)出售 PetyaWrap 病毒的解密秘鑰,據(jù)稱可以解密所有被 PetyaWrap 加密的文件。
看上去,這直接暗示著 PetyaWrap 病毒所造成的攻擊,本質(zhì)上還是勒索。初看上去,被攻擊者的電腦上都顯示出勒索信息,要求他們交付價值 300 美元的贖金,以便解密電腦文件。但上周有安全專家分析成,PetyaWrap 病毒在此前的 Petya 勒索病毒上做了大量改動,其目的變成了加密并銷毀電腦文件。
北京時間 7 月 6 日早上 6 點多,一份出售 PetyaWrap 病毒解密秘鑰的通知被放在了 PasteBin 和 DeepPaste 兩個網(wǎng)站上。這兩個網(wǎng)站常被黑客用于公布漏洞。10 多分鐘后,這兩家網(wǎng)站的比特幣錢包內(nèi)各收到了來自此前攻擊者的一筆轉(zhuǎn)賬。
科技博客網(wǎng)站 Motherboard 根據(jù)上面的通知,進入到了一個聊天室中,跟聲稱是持有秘鑰的黑客溝通。Motherboard 的記者想了一個方法,通過秘鑰的有效與否,來確認聊天室內(nèi)的聊天對象是否為 PetyaWrap 病毒背后的攻擊者。
Motherboard 給對方提供了兩個被 PetyaWrap 病毒加密的 Word 文檔。一個大小是 200KB 左右的文檔在兩小時后被傳回,文件被解密成功,但黑客沒有針對另一個文件作回應(yīng)。看上去,對方提供的解密秘鑰是有效的,MalwareTech 安全公司認為,這可以佐證其是 PetyaWrap 病毒背后的攻擊者。
被 PetyaWrap 病毒加密的 200KB 大小的 Word 文檔和解密版本
不過,在確認攻擊對象這件事上,還相當有困難。在上周攻擊開始后不久,由于德國郵箱供應(yīng)商 Posteo 很快就把攻擊者的郵件封了,被攻擊者也沒法用郵件聯(lián)系攻擊者。這次的聊天室預(yù)計也將在今天被關(guān)閉,是否完成秘鑰出售還不清楚。
令安全專家產(chǎn)生更多疑慮的是,PetyaWrap 病毒的本質(zhì)。根據(jù)網(wǎng)絡(luò)安全公司 Comae 創(chuàng)始人 Matt Suiche 上周公布的分析報告,PetyaWrap 病毒被偽裝成了勒索軟件,但目標是加密文件后對文件施行銷毀行動。
針對這次秘鑰出售事件,他認為,這是黑客只是想要愚弄記者,持有秘鑰的黑客沒法解密所有的文件。安全專家 Anton Cherepanov 和 Matt Suiche 都認為,PetyaWrap 病毒內(nèi)存在 bug,其實沒法解密 1MB 以上大小的文件。目前沒法根據(jù) Motherboard 的嘗試來驗證這點。
不過,從這次直接叫價 25 萬美元來看,很可能是黑客想要一下子獲取更多的收入。此前攻擊者所有的比特幣賬戶上只有價值 1 萬美元的比特幣。按照對方告訴 Motherboard 的說法,已經(jīng)有幾個人對這次交易感興趣。