Petya≠NotPetya:Petya原始作者公开解密密钥
日前,不知何种原因,Petya 勒索软件早期版本背后的作者Janus (笔名)做出了公开解密主密钥的决定,将其上传到了文件共享网站 Mega上,用以恢复受害者被锁定的文件!
对于该主密钥的真实性,目前已由包括波兰信息安全研究人员和卡巴斯基实验室的研究分析员进行了验证,确定可以解锁所有版本的Petya ransomware,包括GoldenEye,但很不幸的是,该密钥并不能解密最近流行的 NotPetya勒索软件。
专家猜测, Petya 背后的作者公开主密钥的动机旨在关闭Petya项目,并与 NotPetya 攻击进行切割,也就是划清界限,以避免在 NotPetya 攻击之后被相关部门调查或被指控发起了 NotPetya 攻击。
这里也必须提到一个很重要的概念了,一直以来笔者将 NotPetya 勒索病毒误认为是 Petya 病毒,但实际上 NotPetya 并不等同于 Petya 病毒,只是其伪装成了 Petya 病毒,也就是笔者之前认为的其具备破坏硬盘、破坏数据的能力,本质上和 Petya 无关,对于笔者之前将 Petya 病毒和 NotPetya 勒索病毒混为一谈的错误解毒表示十分的歉疚。
我们知道,上个月在欧洲爆发的新型勒索病毒 Petya 和另一款 WannaCry 蠕虫病毒一样,都是利用了永恒之蓝漏洞进行大肆的传播和感染的,通过加密受害者文件获取非法收入,但根据调查显示,Petya 勒索软件早期版本的作者Janus其实并未参与针对乌克兰的最新攻击。
日前流行和肆虐的勒索病毒实际上是其他不法之徒将 Petya 进行盗版加工后再进行传播的,当然, NotPetya 勒索病毒也是被另外一个不法分子对其加以盗版修改并进行传播的,因此才有了乌克兰方面遭遇攻击的事件。
而根据安全专家分析,笔者在此前就已谈到, NotPetya 勒索病毒其实就是为了破坏你的硬盘而来的,简单来说也可以理解为一款文件擦除病毒,尽管其使用的邮箱帐号已遭提供商封禁,实际上即便该邮箱号没有被封禁,受害者也无法通过支付赎金的方式获取到解密密钥,根据安全专家对病毒源码的分析,用户其实是根本无法进行文件恢复的!
同样的,尽管 Petya 软件的第一版本和第二版本已被安全专家成功破解,但其还存在第三版本,并且该版本尚处于锁定状态,根据测试得知,Janus公布的解密主密钥可以做到对以上三个版本的 Petya 软件加密的文件进行快速有效的解密。
当然,笔者前面也提到了,NotPetya 勒索病毒并不是 Petya 病毒的作者Janus发布的,因此其公开的主密钥无法对其进行解密,也可能无法对除了上述列举的其他版本的 Petya 进行解密操作!