新型勒索软件Petya降临 企业网络成攻击目标

  在黑客没有节操的情况下，一组攻击者发现了一种劫持Petya勒索软件的方法，并将其用于针对缺乏程序创建者知识公司的攻击。这种计算机木马被称为PetrWrap，主要用来攻击企业网络。安装Petya于计算机上，然后为其运行增加补丁以满足其需求，据反病毒供应商卡巴斯基实验室的安全研究人员表示。

  为了使用编程的方法来欺骗Petya，该木马使用不同于其原始创建者嵌入其代码中的加密密钥。这确保，只有PetrWrap攻击者可以将受影响的计算机恢复到先前状态。

  木马还从赎金消息中删除所有提到的Petya，以及在ASCII中展示的它的红色签名头骨设计。

  一年前，Petya首次出现，马上超越其他所有勒索软件程序。在运行上，它并不是直接加密文件，而是用通过启动操作系统硬盘驱动器的主引导记录(MBR)代码替换加密驱动器文件表(MFT)的恶意代码。

  MFT是NTFS卷上的特殊文件，包含有关其他文件的所有信息：它们的名称、大小和硬盘扇区的映射。用户文件的实际内容不被加密，但没有MFT，操作系统仍然不知道这些文件在磁盘上的位置。

  不像其他勒索软件只锁定特定文件并进行加密，Petya能够锁定整个计算机。随着MBR和MFT受到损坏，操作系统将不再启动，用户只有在打开它们的计算机时，才能收到屏幕上的赎金信息。

  未经作者同意，劫持和使用Petya的决定是聪明的，因为它解决了PetrWrap攻击者的几个问题。首先，他们不必编写自己的勒索软件程序，因为这很难实现，它们也不用为别人提供现成的解决方案。

  第二、因为它已经存在一段时间，Petya有时间发展成一个成熟发达的恶意软件。 PetrWrap攻击者使用Petya 3版本，这是该程序的最新变种，它与之前的版本不同，没有已知缺陷。因为它的创作者已经实现，让它们的加密随着时间的推移更加完美。

  从头开始创建类似Petya的东西不仅容易出错，而且还需要知道为MBR编写低级引导程序代码。

  一旦进入网络，PetrWrap攻击者就会查找并窃取管理凭据。 然后他们使用PsExec工具将恶意软件部署到他们可以访问的所有端点计算机和服务器。

  没有工具来解密受Petya影响的硬盘卷的MFT，但是因为这个恶意软件实际上并不加密文件内容，一些数据恢复工具可能能够从硬盘原始数据重建文件。