黑客在有针对性的攻击中使用危险的Petya赎金软件

在盗贼中没有荣誉的情况下，一群攻击者已经找到了劫持Petya赎金软件的方法，并在没有计划创造者的公司“知识的情况下，在有针对性的公司中使用它。

根据AntiVirus供应商Kaspersky Lab的安全研究人员，将电脑特洛伊在电脑上攻击攻击，然后在计算机上安装Petya，然后在飞行中修补它以满足其需求。

特洛伊木马使用程序化方法来欺骗Petya使用不同的加密密钥，而不是其原始创建者已嵌入在其代码中。这确保了Petrwrap攻击者只能将受影响的计算机恢复到以前的状态。

特洛伊木马还从赎金信息中删除所有提到的Petya，以及它在ASCII设计的签名红头骨。

Petya首次出现了一年前，立即从其他赎金软件计划中脱颖而出。它不是直接加密文件，替换硬盘的主引导记录（MBR）代码，该码通常启动操作系统，恶意代码加密驱动器的主文件表（MFT）。

MFT是NTFS卷上的特殊文件，其中包含有关所有其他文件的信息：它们的名称，大小和映射到硬盘扇区。用户文件的实际内容未加密，但没有MFT，操作系统不再知道这些文件位于磁盘上的位置。

与其他赎金软件感染不同，只能通过加密它们来锁定某些文件，Petya锁定对整个计算机的访问。使用损坏的MBR和MFT，操作系统将不再启动，并且用户在屏幕上打开计算机时才会在屏幕上的赎金消息接受。

劫持和使用Petya没有作者的决定“同意是聪明的，因为它为Petrwrap攻击者解决了几个问题。首先，他们不必写自己的赎金软件程序，这很难正确，他们也不必为现成的解决方案支付别人。

其次，因为它已经存在了一段时间，Petya已经有时间成熟成一个发达的恶意软件。Petrwrap攻击者使用Petya版本3，该程序的最新变体，与以前的版本不同，没有已知的缺陷。这是因为它的创作者随着时间的推移已经完善了他们的加密实施。

从头开始创建像Petya的内容不仅会容易出错，而且还需要了解MBR的低级引导程序代码。

在网络内部，Petrwrap攻击者寻找和窃取管理凭据。然后，它们使用PSExec工具将恶意软件部署到他们可以访问的所有端点计算机和服务器。

没有工具解密受Petya影响的MFT的硬盘卷，但由于此恶意软件实际上是加密文件内容，某些数据恢复工具可能能够从硬盘原始数据重建文件。