大家早安
在網咖電腦, 由於還原系統鎖住硬碟,導致惡意程式 PetyaWrap 或NotPetya 無法正常寫入磁碟機MBR/DR0 位置。
因此,重新建立測試環境, 在VM環境測試Petya變種(雖然幾乎可以確定, 它是另外的加密勒索, 跟變種不大一樣) 以下的URL位置, 是在VirtualBox環境, 使用英文版的Win-XP-SP3環境, 成功測試這個Petya變種的感染過程。
https://drive.google.com/file/d/0B5orGwxleEtPVkRxZDVwWVp1Zms/view?usp=sharing
根據測試的結果, 可以歸納如下:
(1) 在VM環境測試Petya變種, 可以成功寫入MBR磁區, 但是會導致VM-Guest崩潰(VirtualBox的Host還是正常工作)。
(2)在VM-Guest 重新開機後, 會發現已經感染的畫面(如URL的影片) 但是外部側錄網路活動的機器,卻沒有發現對外封包。因此猜想, MBR磁區的加密演算, 沒有送出給駭客(該磁區應該藏有特定演算法)
(3) 雖然 VirtualBox的VM-Guest, 會當機,但是也成功加密 MBR/DR0 磁區。
不知道我的推論是否正確?! 「MBR/DR0 磁區的加密Key, 沒有傳給駭客」?!
因此, 破解MBR加密的方式, 留在原本的程式碼裡面 (重開機的骷嘍頭之後, 有一段序碼,然後要輸入解密的Key)需要進行開機磁區程式碼的反組譯分析,應該就能解除加密。
或者,直接使用Windows的救援光碟,修復MBR,不知能否成功?
整個測試過程已經上傳, 放在URL(Before與After的測試影片, 與Log記錄) 跟大家分享。
以上資料,NSPA-Diamond_Liu-劉得民 整理提供。