虽然目前有黑客已经成功解密了我们(Motherboard)提供的文件,但这并不意味着受害者们可以赎回他们的文件。
事件概览
上周,NotPetya勒索病毒散布全球,据称起初是由于乌克兰的一款叫MEDoc会计软件的升级,这次攻击导致了美国,英国以及欧洲其他国家的港口关闭,超市无法收银,商务工作被迫通过纸和笔来完成。
在上周安全研究人员也花了大量时间讨论受害者是否可以赎回他们的文件,一些研究人员指出,和其他为了牟利的勒索软件不同,NotPetya的目的是通过加密文件并且不给受害者任何解密的方法而造成混乱,换句话讲,他们视NotPetya为一个擦除工具,而不是勒索软件。卡巴斯基实验室的研究人员 Matt Suiche也写道,即使受害者付了钱,黑客也不能帮他们解密文件,在某些情况下,这款勒索软件还会对磁盘造成永久性损坏。
不过也有一些研究人员指出恢复也不是完全没有可能, F-Secure先前说在某些条件下文件是可能被恢复的:
1.主引导记录(MBR)或主文件表(MFT)没有被替换或破坏;
2.加密和解密期间没有文件被添加,移动,删除;
3.加密只进行了一次。
“他们有密钥,所以应该是同一群人”
就在前几天,有黑客出现了并向Motherboard证明了他们有能力解密一些文件。
为了证明他们的能力,这些黑客免费提供了一个解密文件的机会,所以我们联系了ESET公司安全研究人员Anton Cherepanov来发给我们被NotPetya加密的文件,Cherepanov称他在虚拟机里运行了恶意软件并且发给我们两个文件:一个是包含微软的软件信息的普通的word文档,另一个则是被加密的同一个文件,如下图所示,被加密的版本用word处理程序打开时显示乱码。
我们把这个被加密的文件发送给了黑客,两个小时后,这些黑客就发给了我们解密后的文件,经过对比后确实是原来的文件。这说明这些黑客确实有能力解密被NotPetya加密的文件。
Cherepanov和另一位知名的恶意软件研究人员都研究过NotPetya勒索软件,他们表示这些聊天室里的黑客有接触过NotPetya的代码。这周二,这些黑客们还在Pastebin和DeepPaste中放上了NotPetya的加密私钥。
另外,Cherepanov和Suiche表示勒索软件里有一些bug以至于黑客不能解密超过1MB的文件(我们发送的文件都是200KB左右的),期间我们有发送给黑客其他的文件,但是黑客没有应答,很多记者也表示在推特上黑客根本没有回答他们的问题。
真相扑朔迷离
Motherboard之前是在暗网上通过这些黑客搭建的聊天室联系到了他们,这些黑客同时也在Pastebin和 DeepPaste上宣布了他们的企图。
在本周三重新上线后,这些黑客声称只要支付100比特币(大约175万人民币),他们就会公开可以解密所有文件的密钥,由于此次事件发生后黑客的邮箱立刻被封(受害者需要通过邮件发送给黑客包含有特殊指纹的readme.md文件),所以他们没有公开指明如何给他们汇这笔钱,但是通过Motherboard告诉受害者可以向一个新的独立比特币钱包付钱。
成功解密测试文件让NotPetya事件更加扑朔迷离,如果这些与勒索软件有关联的黑客当初不想退还文件,为什么要重新上线呢?另外值得注意的是,NotPetya似乎会损坏受害者的电脑磁盘,就算黑客提供了解密的密钥,一些受害者可能也不会找回他们的文件了。
发表评论