我们都被骗了?Expetr/Petya/不是一个勒索病毒。

释放双眼,带上耳机,听听看~!

病毒究竟是怎么自动执行的(下)?

上一节,我们学习了病毒是如何跟随系统的启动而启动的。《病毒究竟是怎么自动执行的(上)?》,今天我们来看一下病毒的另外一种自启动方式:    二、跟随程序的启动而启动 所谓跟随程序的启动而启动,是指当执行某些特定的程序时,病毒会跟随着进行启动。常

昨天晚上,病毒分析师Anton Ivanov和Orkhan Mamedov在分析了最新的Petya(卡巴斯基命名Expetr)后得得一个惊人的结论:ExPetr/Petya不是一个勒索病毒,而是一个雨刷程序(擦除器)。

原文翻译如下:


在分析了ExPetr/Petya攻击中使用的恶意软件的加密例程之后,我们认为即使已经支付了赎金,威胁操作者也不能解密受害者的磁盘。


这支持了这种恶意软件攻击不是为了金融收益而设计的恶意攻击的理论。相反,它似乎是作为一个雨刷假装是勒索病毒。

下面是技术细节。首先,为了解密受害者的磁盘,攻击者需要安装id :



在以前类似ExPetr/Petya的早期版本中,此安装id包含关键恢复的关键信息。向攻击者发送此信息后,他们可以使用其私钥提取解密密钥。

以下是在expetr中生成的安装id :



在我们的测试用例中,这个安装id是使用cryptgenrandom函数构建的,它基本上生成随机数据。


以下缓冲区包含以编码的“base58”格式随机生成的数据:

永恒之蓝勒索病毒完整解决方案

一.  核心结论 正值我国“一带一路”全球化会议召开期间,北京时间2017年5月12日晚20时左右,在国内大规模爆发勒索攻击,我国大量金融机构、企业、教育网遭受冲击。 勒索攻击名为“wannacry、ONION、Wncry”是早前披露NSA黑客武器库泄漏的“永恒之蓝”发起的


如果我们比较这些随机生成的数据和第一个屏幕显示的最终安装id,它们是相同的。在正常设置中,此字符串应包含用于恢复解密密钥的加密信息。对于expetr,在“赎金”屏幕中显示的id只是简单的随机数据。

这意味着攻击者无法从在受害者上显示的随机生成的字符串中提取任何解密信息,因此,受害者将无法使用安装id来解密任何加密磁盘。

这是什么意思?首先,这是受害者的最坏的情况——即使他们支付赎金,他们也不会得到他们的数据。第二,这加强了理论,即expetr攻击的主要目标不是经济动机,而是破坏性的。

我们的朋友Matt Suiche从comae技术独立得出相同的结论。

(原文翻译结束)

简单来说,该文的意思就是说,这个不是勒索病毒,你即使把钱交过去,你的数据也拿不回来。该病毒作者更没有职业道德,直接撕票了。


大家还是做好预防工作吧。如何预防,请参考我的上一篇文章:

《新的勒索病毒全球爆发,我们如何自保?》


最后再强调一次:

备份!备份!备份!

欢迎关注:大兵说安全。感谢打赏

本文源自微信公众号:大兵说安全

涉嫌泄露百亿条个人用户信息,知名大数据公司被查

据新华社消息:山东日前成功破获一起特大侵犯公民个人信息案,共抓获犯罪嫌疑人57名,打掉涉案公司11家,查获公民信息数据4000GB、数百亿条。 经查 涉案的数据堂公司在8个月时间内,日均传输公民个人信息1亿3千万余条,累计传输数据压缩后约为4000GB左右,公

人已赞赏
安全工具

又双叒叕一家单位被勒索了!

2019-10-14 17:31:06

安全工具

病毒究竟是怎么自动执行的(下)?

2019-10-14 17:31:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索