由卡巴斯基暫名為ExPetr的勒索病毒,在今天又傳出新的研究報告了!另一位資安公司的研究員,不但肯定了該病毒並非媒體報導的Petya,更大膽推測該攻擊的恐怕不是為了要求贖金,而是一場背後有著特定國家支撐的網路攻擊!
在昨日資安業者卡巴斯基研究室就發表聲明,表示這次的攻擊病毒雖然與去年的Petya有部分病毒串相似,但實際上卻是兩種完全不同的病毒;而今日另外一間資安業者Comae Technologies的研究員就指出,ExPetr(原文稱NotPetya/Petya.2017)並非我們知道的勒贖軟體;乃屬於一種wiper型攻擊程式。
勒索軟體通常以要求贖金為目的,被加密的檔案也有機會被解密;但wiper攻擊卻意在破壞對象資料,遭受攻擊的電腦會被隨機程式碼複寫,並銷毀內部存在的資料!
卡巴斯基後來也提出更確切的資料,表示勒索軟體通常會替入侵對象建立類似流水號的ID碼,這樣才能知道誰付回贖金,並決定要不要復原資料;然而ExPetr產生的卻是亂數號碼,這代表攻擊者根本無法確認有誰付了贖金!
Comae Technologies也表示,他們分析了昨(29)日攻擊烏克蘭的ExPetr樣本後,發現它在加密時,就會覆寫掉受害電腦的磁區,使其無法解密!
此外,還有一項最為有力的證據,或許可以證明ExPetr亦不在錢;ExPetr要求將贖金寄到單一一個虛擬錢包;一般而言,為了分散被警方查獲的風險,沒有駭客會僅用一個虛擬錢包,更何況他們還要求使用者寄識別碼到Posteo服務的信箱中,而Posteo早就阻斷了這個信箱,以防更多人受害。
為此,研究人員相信,這款ExPetr雖然表面上像勒贖軟體,但實際上卻是場有國家支持的攻擊行動,而對象正是烏克蘭;另外,先前造成世界恐慌的WannaCry,也被認為是北韓間諜集團所組織的國家網路攻擊。