Fortinet ได้สรุปความแตกต่างระหว่าง Malware Petya ซึ่งแพร่ระบาดตั้งแต่ช่วงมีนาคม 2016 จนกระทั่งเมื่อไม่กี่สัปดาห์ที่ผ่านมามีเวอร์ชั่นที่คล้ายๆกับ Petya ออกมา ซึ่งมีการแพร่กระจายที่ค่อนข้างรุนแรงและคล้ายกับ Petya อย่างมาก ซึ่ง Security Expert ส่วนใหณ่จะให้ชื่อว่า NotPetya เพราะคิดว่ามันถูกสร้างมาเพื่อ Cyber Attack มากกว่าจะเป็น Ransomware ธรรมดาทั่วไป โดยทาง Fortinet สามารถสรุปความแตกต่างออกมาดังนี้

1. ความแตกต่างของ XOR key

ทั้ง Petya และ NotPetya ล้วนอ่าน MBR (Master Boot Record) ทั้งคู่ และทำการเข้ารหัสโดยการใช้ XOR key. แต่ Petya ใช้ 0x37 เป็น key, ขณะที่ NotPetya ใช้ 0x07 เป็น key

2. Mini-Kernel’s Sector Space

Petya ใช้งาน mini-kernel code ในส่วน original kernel. ส่วน code ทำหน้าที่สำหรับการเข้ารหัส, การใช้แสดงผล CHKDSK ปลอมๆ, ส่วนการกระพริบรูปหัวกระโหลก, และส่วน ransomware note. ส่วน NotPetya’s mini-kernel จะใช้เพื่อสิ่งเดียวกันแตกต่างที่จะไม่มีการแสดงรูปหัวกระโหลก

Petya เขียน mini-kernel​ เริ่มที่ sector 0x22, ส่วน NotPetya เริ่มที่ sector 0x02, ใกล้ๆส่วน MBR sector.

3. Reboot Style

หลังจากการเขียนทับ MBR และ mini-kernel code ใน disk แล้ว, Petya และ NotPetya จะ restart เครื่องที่ติดเพื่อเริ่มกระบวนการที่ติดต่อไป

Petya จะใช้ NtRaiseHardError API ในการ reboot process ส่วน NotPetya จะใช้วิธีตั้งเวลาโดยใช้คำสั่ง “shutdown.exe /r /f” ซึ่งจะเป็นการใช้งาน CreateProcessW API

4: Skull Display

Petya แสดงรูปหัวกระโหลกสีแดง หลังจากแสดง CHKDSK ปลอมๆเสร็จ. NotPetya จะแสดง CHKDSK ปลอมๆขณะที่เข้ารหัส แต่ไม่มีการแสดงรูปหัวกระโหลกแต่อย่างใด

5. Ransomware Note

Petya และ NotPetya ransomware notes แตกต่างกันโดยสิ้นเชิง

Source:: Fortinet