智能
新型蠕虫病毒的攻击者 25 万美元卖秘钥,什么情况?
但至今没法确定攻击者是谁。
MalwareTech 若干天之前针对 Windows 电脑的蠕虫病毒 PetyaWrap(也有人称为 NotePetya)攻击案有了新的进展。
上周三开始,有黑客在网上以 100 比特币的价格(价值约 25 万美元)出售 PetyaWrap 病毒的解密秘钥,据称可以解密所有被 PetyaWrap 加密的文件。
看上去,这直接暗示着 PetyaWrap 病毒所造成的攻击,本质上还是勒索。初看上去,被攻击者的电脑上都显示出勒索信息,要求他们交付价值 300 美元的赎金,以便解密电脑文件。但上周有安全专家分析成,PetyaWrap 病毒在此前的 Petya 勒索病毒上做了大量改动,其目的变成了加密并销毁电脑文件。
北京时间 7 月 6 日早上 6 点多,一份出售 PetyaWrap 病毒解密秘钥的通知被放在了 PasteBin 和 DeepPaste 两个网站上。这两个网站常被黑客用于公布漏洞。10 多分钟后,这两家网站的比特币钱包内各收到了来自此前攻击者的一笔转账。
科技博客网站 Motherboard 根据上面的通知,进入到了一个聊天室中,跟声称是持有秘钥的黑客沟通。Motherboard 的记者想了一个方法,通过秘钥的有效与否,来确认聊天室内的聊天对象是否为 PetyaWrap 病毒背后的攻击者。
Motherboard 给对方提供了两个被 PetyaWrap 病毒加密的 Word 文档。一个大小是 200KB 左右在两小时后被传回,文件被解密成功,但黑客没有针对另一个文件作回应。看上去,对方提供的解密秘钥是有效的,MalwareTech 安全公司认为,这可以佐证其是 PetyaWrap 病毒背后的攻击者。
被 PetyaWrap 病毒加密的 200KB 大小的 Word 文档和解密版本
不过,在确认攻击对象这件事上,还相当有困难。在上周攻击开始后不久,由于德国邮箱供应商 Posteo 很快就把攻击者的邮件封了,被攻击者也没法用邮件联系攻击者。这次的聊天室预计也将在今天被关闭,是否完成秘钥出售还不清楚。
令安全专家产生更多疑虑的是,PetyaWrap 病毒的本质。根据网络安全公司 Comae 创始人 Matt Suiche 上周公布的分析报告,PetyaWrap 病毒被伪装成了勒索软件,但目标是加密文件后对文件施行销毁行动。
针对这次秘钥出售事件,他认为,这是黑客只是想要愚弄记者,持有秘钥的黑客没法解密所有的文件。安全专家 Anton Cherepanov 和 Matt Suiche 都认为,PetyaWrap 病毒内存在 bug,其实没法解密 1MB 以上大小的文件。目前没法根据 Motherboard 的尝试来验证这点。
不过,从这次直接叫价 25 万美元来看,很可能是黑客想要一下子获取更多的收入。此前攻击者所有的比特币账户上只有价值 1 万美元的比特币。按照对方告诉 Motherboard 的说法,已经有几个人对这次交易感兴趣。
题图来自:Giphy
原文链接 (已下线): https://www.qdaily.com/articles/42748.html
Wayback 快照: http://web.archive.org/web/20170911145542/http://www.qdaily.com:80/articles/42748.html
原始截图: http://ww3.sinaimg.cn/large/007d5XDply1g3yagnlqhxj30u03t27wh