研究：NotPetya可能是瘫痪系统的攻击武器，付了钱也救不回档案

周三横扫欧洲及美国的NotPetya再度引起全球对勒赎软件的恐慌，不过安全专家分析，NotPetya可能实际上是一个攻击武器。
 
和其他勒赎软件一样，NotPetya感染Windows PC时会加密档案，然后要求支付相当300美元的比特币到其所附的区块链网址，并将其比特币钱包ID和独有的加密码寄给一个“@posteo”信箱。使用者照做，骇客可能会寄来解密金钥，让使用者要回档案。而乌克兰在此次攻击中受创最重，从中央银行、国营电信公司、地铁及首都基辅机场、到切尔诺贝利尔核电厂都被感染，连一家超市POS终端机都遭殃。
 
但安全公司Comae Technologies研究人员Mattieu Suiche指出，NotPetya（或称Petya.2017）并不是一个勒赎软件，而是一种wiper型攻击程式。前者以钱为目的，被加密的档案可以被解密。但wiper则旨在造成破坏，使档案无法解密及回复。该公司分析周三攻击乌克兰的NotPetya样本，发现它在加密过程中会覆写掉受害电脑第一磁区，导致根本无法解密，不同于2016年的Petya勒赎软件。
 
卡巴斯基也有相同结论。该公司指出，分析一般勒赎软件为受害电脑建立的安装ID码，会用以回复解密金钥的资讯，但NotPetya产生的是随机资料，这意谓著不可能再解密档案，即使受害者付了赎金也救不回资料。

如下图绿色框框所示，一般勒赎软件会为受害者的电脑建立个别的安装ID，被害者支付赎金并回复ID码，骇客才能针对个别的被害者提供解密金钥，但卡巴斯基指出NotPetya产生ID是随机的。

 
此外，不同于一般勒赎软件为不同受害者建立各自独有的钱包作为区别，NotPetya则是要求所有受害人汇款300美元等值的比特币到单一钱包，取得单一识别码再寄一封电子邮件到某个@posteo.net的邮箱告知。这种方法显示攻击者并不在意谁付了赎金，自然也不会想“释放”档案。更不用说，代管该邮箱的公司Posteo昨日也立即将可疑的信箱加以封锁，切断了受害者和骇客的联系。
 
安全研究人员相信，NotPetya表面上是勒赎软件，实则为一场有国家支持的攻击行动，而对象正是乌克兰。
 
事实上，自2014年3月的乌克兰危机以来，这个国家多次遭受网络攻击。去年年初及12月，乌克兰分别经历机场，以及包括财税、国防系统，供电网络的大规模攻击，导致政府运作停摆及停电等灾情，尤其12月的攻击更可能高达6,500多次。
 
乌克兰在5月间的WannaCry攻击中也名列重灾区。