黑客以25萬美元售賣的新勒索病毒秘鑰，被證實有效

據觀察者網此前報道，席捲全球的勒索病毒在上個月出現了新的變種“Petrwrap”，這種變種病毒在烏克蘭、俄羅斯爆發並蔓延歐洲。讓人沒有想到的是，病毒爆發10天不到，就有黑客在網上以25萬美元的價格售賣此病毒的解密鑰匙了。

好奇心日報7月8日報道稱，MalwareTech 若干天之前針對 Windows 電腦的蠕蟲病毒 PetyaWrap（也有人稱為 NotePetya）攻擊案有了新的進展。

上週三開始，有黑客在網上以 100 比特幣的價格（價值約 25 萬美元）出售 PetyaWrap 病毒的解密秘鑰，據稱可以解密所有被 PetyaWrap 加密的文件。

看上去，這直接暗示着 PetyaWrap 病毒所造成的攻擊，本質上還是勒索。初看上去，被攻擊者的電腦上都顯示出勒索信息，要求他們交付價值 300 美元的贖金，以便解密電腦文件。但上週有安全專家分析成，PetyaWrap 病毒在此前的 Petya 勒索病毒上做了大量改動，其目的變成了加密並銷燬電腦文件。

北京時間 7 月 6 日早上 6 點多，一份出售 PetyaWrap 病毒解密秘鑰的通知被放在了 PasteBin 和 DeepPaste 兩個網站上。這兩個網站常被黑客用於公佈漏洞。10 多分鐘後，這兩家網站的比特幣錢包內各收到了來自此前攻擊者的一筆轉賬。

科技博客網站 Motherboard 根據上面的通知，進入到了一個聊天室中，跟聲稱是持有秘鑰的黑客溝通。Motherboard 的記者想了一個方法，通過秘鑰的有效與否，來確認聊天室內的聊天對象是否為 PetyaWrap 病毒背後的攻擊者。

Motherboard 給對方提供了兩個被 PetyaWrap 病毒加密的 Word 文檔。一個大小是 200KB 左右的文檔在兩小時後被傳回，文件被解密成功，但黑客沒有針對另一個文件作回應。看上去，對方提供的解密秘鑰是有效的，MalwareTech 安全公司認為，這可以佐證其是 PetyaWrap 病毒背後的攻擊者。

被 PetyaWrap 病毒加密的 200KB 大小的 Word 文檔和解密版本

不過，在確認攻擊對象這件事上，還相當有困難。在上週攻擊開始後不久，由於德國郵箱供應商 Posteo 很快就把攻擊者的郵件封了，被攻擊者也沒法用郵件聯繫攻擊者。這次的聊天室預計也將在今天被關閉，是否完成秘鑰出售還不清楚。

令安全專家產生更多疑慮的是，PetyaWrap 病毒的本質。根據網絡安全公司 Comae 創始人 Matt Suiche 上週公佈的分析報告，PetyaWrap 病毒被偽裝成了勒索軟件，但目標是加密文件後對文件施行銷燬行動。

針對這次秘鑰出售事件，他認為，這是黑客只是想要愚弄記者，持有秘鑰的黑客沒法解密所有的文件。安全專家 Anton Cherepanov 和 Matt Suiche 都認為，PetyaWrap 病毒內存在 bug，其實沒法解密 1MB 以上大小的文件。目前沒法根據 Motherboard 的嘗試來驗證這點。

不過，從這次直接叫價 25 萬美元來看，很可能是黑客想要一下子獲取更多的收入。此前攻擊者所有的比特幣賬户上只有價值 1 萬美元的比特幣。按照對方告訴 Motherboard 的説法，已經有幾個人對這次交易感興趣。