Veja a seguir, algumas diferenças técnicas entre estes dois malwares:

Diferença 1: chave XOR

Petya e NotPetya lêem o MBR e criptografam usando uma simples chave XOR. A diferença é que o Petya usa 0x37 como uma chave, enquanto NotPetya usa 0x07.

Diferença 2: espaço do setor do Mini-Kernel

O Petya executa um código de mini-kernel no lugar do kernel original. O código é responsável pelo processo de criptografia, a exibição falsa do CHKDSK e a nota do ransomware. O mini-kernel do NotPetya é responsável pelas mesmas coisas, exceto que não inclui a exibição do display.

O Petya também escreve seu mini-kernel a partir do setor 0x22, enquanto o NotPetya começa no setor 0x02, logo após o setor MBR.

Diferença 3: reiniciar o estilo

Depois de escrever seu código MBR e mini-kernel no disco infectado, Petya e NotPetya reiniciam o sistema infectado para ativar o segundo estágio da infecção de malware.

Petya usa a API NtRaiseHardError para iniciar o processo de reinicialização enquanto NotPetya agenda uma reinicialização emitindo o comando "shutdown.exe / r / f" em um horário definido usando a API CreateProcessW.

Diferença 4: exibição do display

O Petya exibe um display vermelho depois que sua falsa operação CHKDSK é feita. O NotPetya também exibe um falso CHKDSK enquanto criptografa o disco, mas nenhum display é exibido posteriormente.

Concluindo

Enquanto Petya e NotPetya têm algumas diferenças importantes, eles também são muito semelhantes, especialmente porque ambos são destrutivos em todos os sentidos.

Pagar o resgate exigido por qualquer um destes ataques não garante que sua empresa recuperará seus dados. Em vez disso, uma das melhores maneiras de combater estes malwares é ter um bom backup do seu sistema que é armazenado na rede.

Fonte

Fortinet