0
Petya lösen not
Bild: Symantec
Offren för denna vecka är Petya utbrott har fått ytterligare en anledning att inte betala in — skadlig kod inte kan återställa filer.
Forskare från Comae Teknik och Kaspersky Lab har oberoende av varandra kommit fram till samma slutsats som Petya är en torkare, inte ransomware.
Anton Ivanov och Orkhan Mamedov av Kaspersky Lab sade malware är avsedd att dölja sig som ransomware, och “installation nyckeln” för användaren visas på en Petya gisslan anteckning är bara randomiserade data.
“Som innebär att angriparen inte kan extrahera alla dekryptering av information från en slumpmässigt genererad sträng som visas på offret, och som ett resultat av offren kommer inte att kunna avkoda någon av de krypterade diskar med installations-ID,” paret sa.
“Vad betyder det? Väl, först av allt, detta är det värsta-fall nyheter för offer – även om de betalar lösen de kommer inte att få sina uppgifter tillbaka. För det andra, detta förstärker teorin om att det huvudsakliga målet med ExPetr attack var inte ekonomiskt motiverad, men destruktivt.”
Infekterade användare visas en numera nedlagda e-postadress i lösen när det stängdes på tisdagen av e-postleverantören Posteo. I skrivande stund, den bitcoin plånbok knuten till malware hade samlats runt $10,300 i lösesummor.
Matt Suiche av Comae Tekniker sa att det skadliga programmet var medvetet att skriva över de första 25 block på en disk.
“Vi tror att de ransomware var i själva verket ett lockbete för att kontrollera media, berättande, särskilt efter WannaCry händelser för att locka uppmärksamhet på några mystiska hacker-gruppen snarare än ett nationellt, statligt angripare som vi har sett tidigare i fall som involverade vindrutetorkare som Shamoon,” skrev han.
Enligt Suiche, medan tidigare versioner av Petya kunde återkrävas från den, i sin senaste skepnad, Petya inte permanenta skador.
En dag efter Petya utbrott började, minst 2 000 angrepp har registrerats i över 64 länder.
Microsoft bekräftade i går via sin telemetri data ett antal inledande infektioner skett via Ukraina-baserade skatt accounting software MEDoc.
“Även om denna vektor har spekulerats länge av nyhetsmedier och säkerhet forskare-inklusive Ukrainas egen It-Polisen-det var bara indicier för denna vektor. Microsoft har nu bevis för att några aktiva infektioner av ransomware började först från den legitima MEDoc updater process”, säger Microsoft.
På onsdag, NATOS Generalsekreterare Jens Stoltenberg sa det kollektiva försvaret artikel i nordatlantiska Fördraget kan åberopas i ansiktet av en cyberattack.
Vi har också beslutat att en it-attack kan utlösa Artikel 5 och vi har även beslutat — och vi är i färd med att upprätta — it som en militär domän, vilket innebär att vi kommer att ha mark, luft -, sjö -, och it som militära domäner”, sade han.
den Petya attack
Här är varför detta händer igen
Sex snabba fakta för att veta om Petya attack
Microsoft: Petya-infektion sprids genom hackad software updater
Skapa en fil för att skydda dig själv
Ransomware: En verkställande guide till en av de största hot på webben
0