Mã độc Petya rõ ràng được coi là người kế nhiệm của WannaCry, nhưng không phải là ransomware.
Khi các công ty bảo mật như Kaspersky, Symantec và Avira báo cáo về mã độc Petya, họ gọi nó là ransomware. Rõ ràng các hãng bảo mật có tất cả các lý do để làm vậy, bởi vì hành động của nó là hiển thị một tin nhắn đòi tiền chuộc yêu cầu 300USD bằng loại tiền Bitcoin. Tuy nhiên, theo phát triển mới nhất, có vẻ như phần mềm độc hại này không phải là một ransomware.
Nếu nhìn vào định nghĩa của một ransomware, nhiều người sẽ biết rằng nó nói về mã độc giam giữ các tập tin của bạn để đòi tiền chuộc và chỉ được mở khi bạn trả một khoản tiền lớn. Trái lại, Petya là một chương trình xoá dữ liệu (Wiper), nó không được lập trình để trả lại tập tin cho bạn kể cả khi bạn đã trả tiền chuộc.
Ransomware và wiper khác nhau chỗ nào? Liệu Petya có nguy hiểm hơn?
Như đã nói ở trên, một wiper không khôi phục lại dữ liệu nó đã phá huỷ, việc này hoàn toàn khác với một ransomware. Trong khi ransomware nhắm đến việc “làm tiền” , wiper làm việc với mục đích phá hoại dữ liệu để chúng không thể khôi phục được.
Hoạt động này khác với mã độc Petya hồi năm 2016, khi nó có thể khôi phục lại các thay đổi của nó. Sự phá hoại của Petya ở năm 2017 thì không thể nào khôi phục được, và nó sẽ cố ghi đè lên phần MBR của đĩa bằng bộ nạp khởi động mới.
Các nhà nghiên cứu thuộc Comae và Kaspersky Lab nói rằng Petya ngụy trang như một Ransomware và chỉ hiển thị dữ liệu ngẫu nhiên như một chìa khóa được cài đặt. Vì vậy, kể cả là hacker cũng không thể giải nén bất kì thông tin được giải mã nào từ dữ liệu và nạn nhân cũng không thể dùng chìa nào để giải mã cho ổ đĩa.
Hơn nữa, những người dùng bị nhiễm Petya được đưa một địa chỉ email và nó hiện cũng đã bị đóng bởi nhà cung cấp dịch vụ thư điện tử đó là Posteo.
Comae đã kết luận rằng Petya giả vờ là một ransomware để thu hút các phương tiện truyền thông, điều này hoàn toàn hợp lý sau khi WannaCry nhận được sự chú ý rất lớn.
Dịch từ: Fossbyte