最近兩天，Petya勒索軟件席卷歐洲，包括烏克蘭首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊，Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。
但研究人員的最新研究結果顯示，這款病毒其實是個文件擦除病毒，勒索只是其表象。專家稱，Petya的行為就是個勒索軟件，但是里面的源碼顯示，用戶其實是無法恢復文件的。
不小心犯錯，還是有意為之？
在昨天的報道文章中，我們就曾提到，卡巴斯基認為這次出現的勒索軟件并非Petya變種，二者也并非出自同一個作者，因此有研究人員將其稱為NotPetya、Petna或者SortaPetya。
Petya釋放的文件向磁盤頭部寫入惡意代碼，被感染系統的主引導記錄被引導加載程序重寫，并且加載一個微型惡意內核。接著，這個內核開始進行加密。
與傳統的勒索軟件不同的是，Petya并非逐個加密單個文件，而是破壞MBR，使得用戶無法進入系統。當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，加密磁盤的MFT等惡意操作。
最終，Petya會顯示如下界面讓感染者提交贖金獲得解密密鑰，按照道理，用戶應該向勒索軟件作者發送郵件，附上自己的感染ID，再索取密鑰。

值得一提的是，原版的Petya勒索程序會保留加密的MBR副本，然后將其替換為惡意代碼，并顯示勒索信息——這樣一來計算機就無法啟動了。但這次的Petya（或者應該叫NotPetya）根本就不會保留MBR副本，不管是作者有意為之還是不小心犯的錯誤，即便真的獲取到解密密鑰也無法啟動被感染的計算機。
壓根沒想幫你恢復文件
目前為止45位受害者向病毒作者支付了10,500美元的贖金，但他們無法恢復文件。
大家可能知道，Petya所使用的郵箱服務商之前關閉了其郵箱，導致的結果是感染者無法聯系作者獲得解密密鑰。但即便用戶真的買了比特幣發送郵件給作者，還是無法恢復文件。而且實際上，從一開始病毒作者就沒有想要幫助用戶恢復文件。
無法恢復文件的原因就是，這次的Petya生成的感染ID是隨機的。對于像Petya這樣沒有C&C服務器進行進一步數據傳輸的勒索軟件來說，通常這種ID會存儲關于感染電腦的信息和解密密鑰。
但是根據卡巴斯基專家的研究，因為Petya隨機生成了這個ID，因此攻擊者根本無法恢復文件。
“這對于感染者來說顯然是最糟糕的消息——即便支付贖金，他們也要不回數據。其次這就證實了我們的結論，即ExPetr攻擊并不是為了經濟目的，而是為了造成毀滅性打擊。”卡巴斯基專家Ivanov說道。
另一位來自Comae Technologies的研究員Matt Suiche也從另一個角度證實了卡巴斯基的結論，他提到病毒中的一系列錯誤操作導致原來的MFT（主文件表）無法恢復：
“原版的Petya對磁盤所作的更改是可逆的，但（這次的）Petya無法還原磁盤的原來狀態。”
制造騷亂
基于此，在過去的24小時里，有關Petya真正目的的猜測戲劇性地轉向。
威脅情報專家The Grugq率先在他的報告中指出，Petya沒有遵循一般勒索軟件的套路。
“之前真正的Petya是為了賺錢而制作的，而這個Petya變種完全不是為了錢，”The Grugq提到，“他被用來進行快速傳播從而造成破壞。”
沒有解密功能的勒索基本就等同于磁盤擦除器了。正因為Petya沒有真正的解密機制，也就代表勒索軟件實際上是沒有長期盈利的目的的。
Petya原作者在twitter上稱，這次的NotPetya并不是由他制作，打破了之前部分指責Petya作者的謠言。

順便一提，JANUS是第二個作出如此澄清的勒索軟件作者。今年5月，AES-NI勒索軟件作者也做了相關澄清，表示自己沒有制作XData勒索軟件，這款XData勒索軟件也被用于攻擊烏克蘭。另外，XData和Petya用到了相同的傳播向量——烏克蘭會計軟件制造商MeDoc的更新服務器。
像Petya這樣勒索用戶但不恢復文件的病毒已經發生多次。去年下半年就有多份報道，比如Shamoon和KillDisk，都是磁盤擦除的病毒。另外，工業病毒也開始具備磁盤擦除功能。

在這次攻擊中遭受最嚴重攻擊的烏克蘭也是事件的一個亮點。Matt Suiche在研究中得出的結論是，唯一的解釋是這實際上是一場偽裝的國家級網絡攻擊。
Petya的攻擊重點在烏克蘭，因為它通過MeDoc惡意推送進行傳播，并且Petya具備強大的傳播特性，但最初的幾例感染事件都發生在烏克蘭。而烏克蘭政府官員已經把矛頭指向俄羅斯，自2014年開始的多次網絡攻擊事件中，俄羅斯一直是烏克蘭指責的幕后黑手。
雖然我們無從得知事件的真相，但Petya可能沒有想象中的那么簡單，它可能是與Stuxnet和BlackEnergy類似的用于政治目的的網絡武器，而非單純的勒索軟件。