黑客在有针对性的攻击中使用危险的Petya赎金软件
在盗贼中没有荣誉的情况下,一群攻击者已经找到了劫持Petya赎金软件的方法,并在没有计划创造者的公司“知识的情况下,在有针对性的公司中使用它。
根据AntiVirus供应商Kaspersky Lab的安全研究人员,将电脑特洛伊在电脑上攻击攻击,然后在计算机上安装Petya,然后在飞行中修补它以满足其需求。
特洛伊木马使用程序化方法来欺骗Petya使用不同的加密密钥,而不是其原始创建者已嵌入在其代码中。这确保了Petrwrap攻击者只能将受影响的计算机恢复到以前的状态。
特洛伊木马还从赎金信息中删除所有提到的Petya,以及它在ASCII设计的签名红头骨。
Petya首次出现了一年前,立即从其他赎金软件计划中脱颖而出。它不是直接加密文件,替换硬盘的主引导记录(MBR)代码,该码通常启动操作系统,恶意代码加密驱动器的主文件表(MFT)。
MFT是NTFS卷上的特殊文件,其中包含有关所有其他文件的信息:它们的名称,大小和映射到硬盘扇区。用户文件的实际内容未加密,但没有MFT,操作系统不再知道这些文件位于磁盘上的位置。
与其他赎金软件感染不同,只能通过加密它们来锁定某些文件,Petya锁定对整个计算机的访问。使用损坏的MBR和MFT,操作系统将不再启动,并且用户在屏幕上打开计算机时才会在屏幕上的赎金消息接受。
劫持和使用Petya没有作者的决定“同意是聪明的,因为它为Petrwrap攻击者解决了几个问题。首先,他们不必写自己的赎金软件程序,这很难正确,他们也不必为现成的解决方案支付别人。
其次,因为它已经存在了一段时间,Petya已经有时间成熟成一个发达的恶意软件。Petrwrap攻击者使用Petya版本3,该程序的最新变体,与以前的版本不同,没有已知的缺陷。这是因为它的创作者随着时间的推移已经完善了他们的加密实施。
从头开始创建像Petya的内容不仅会容易出错,而且还需要了解MBR的低级引导程序代码。
在网络内部,Petrwrap攻击者寻找和窃取管理凭据。然后,它们使用PSExec工具将恶意软件部署到他们可以访问的所有端点计算机和服务器。
没有工具解密受Petya影响的MFT的硬盘卷,但由于此恶意软件实际上是加密文件内容,某些数据恢复工具可能能够从硬盘原始数据重建文件。