PetrWrap：网络罪犯窃取同行的勒索软件代码

2016年5月，卡巴斯基实验室发现Petya勒索软件不仅能够加密存储在计算机上的数据，还能够重写硬盘的主引导记录(MBR)，造成受感染计算机无法启动到操作系统。这种恶意软件采用了典型的恶意软件服务模式，即勒索软件编写者根据需求提供恶意产品，并通过多个渠道传播这种恶意软件，然后从中获取一部分收益。为了获取到这部分收益，Petya的编写者在恶意软件中插入了特定的“保护机制”，避免他人未授权使用Petya样本。PetrWrap木马作者的恶意行为最早于2017年初被发现，这种恶意软件的作者突破了Petya的防护机制，找到一种可以使用Petya的手段，同时不需要向Petya作者支付一分钱。

目前，还不清楚PetrWrap是如何进行传播的。感染后，PetrWrap启动Petya来加密受害者的数据，之后勒索受害者支付赎金。PetrWrap作者使用了自己的私匙和公匙，并没有使用Petya自带的密匙。这表示，如果受害者支付了赎金，PetrWrap恶意软件使用着无需使用Petya作者的私匙就可以解密受害者的计算机。

很明显，PetrWrap的开发者选择Petya并非出于偶然：Petya家族的勒索软件具有相当完美的加密算法，很难被破解，而加密算法又是勒索软件中最重要的组件。过去发生的多起案例中显示，有些勒索软件的加密算法存在漏洞，能够让安全研究人员找到解密文件的办法，从而让网络罪犯的所有努力都前功尽弃。之前版本的Petya勒索软件就出现过这种情况，之后，该勒索软件的作者修复了几乎所有漏洞。所以，当受害者的计算机被最新版的Petya攻击后，数据加密非常可靠，无法被破解。这也就是为什么PetrWrap选择使用Petya的加密算法的原因。不仅如此，被PetrWrap勒索软件感染后，受害者计算机上的锁定屏幕不会提到任何有关Petya的信息，让安全专家很难判断情况，无法快速识别出攻击中使用的勒索软件家族。

卡巴斯基实验室反勒索软件高级安全研究员Anton Ivanov说:“我们看到，网络罪犯开始互相吞食。从我们的角度来看，这是勒索软件组织之间竞争加剧的迹象。理论上来说，这是一件好事。因为网络罪犯之间越是互相斗争，他们的组织性就越差，他们发动的恶意攻击行动的效果也将大打折扣。真正令人担忧的是，PetrWrap勒索软件被用于针对性攻击。这并不是勒索软件首次被用于针对性攻击，当然，也绝对不是最后一次。我们督促各类组织和企业密切关注这种威胁，保护自己的网络抵御这种威胁，因为一旦感染，结果将是灾难性的。”

为了保护企业和组织抵御这类攻击，卡巴斯基实验室安全专家给出以下建议：

正确和及时备份数据，这样即使遭遇数据丢失事件，也可以利用备份恢复原始数据。

使用具有基于行为检测技术的安全解决方案。这些技术能够监控程序在系统上的行为，拦截恶意软件，包括勒索软件，还可以发现之前未知的勒索软件样本。

对控制网络进行安全评估(即安全审计、渗透测试和缝隙分析)，发现和消除安全漏洞。如果外部供应商和第三方安全策略能够直接访问你们的控制网络，也需要对他们进行安全评估。

请求外部情报：来自信誉可靠的供应商的安全情报信息能够帮助企业和组织预测未来攻击。

对员工进行安全培训，尤其要提高操作人员以及工程人员的安全意识，提到他们对最新威胁和攻击的警惕性。

在企业和组织的安全便捷内外提供保护。正确的安全策略需要将大量资源用于攻击检测和反馈，从而在攻击入侵重要的对象之前，将其拦截。

要了解更多关于PetrWrap勒索软件详情，请访问Securelist.com上的相关博文。

请访问NoRansom.kaspersky.com 获取我们为帮助勒索软件受害者开发的工具。