27 июня 2017 года компании по всему миру столкнулись с новой эпидемией, причиной которой стала новая версия шифровальщика Petya, появившегося еще в 2016 году. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего WannaCry и сумели спровоцировать новый виток паники.
Новую малварь называют не только Petya, но и NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее. Дело в том, что изучив угрозу детально, специалисты пришли к выводу, что в новом шифровальщике осталось не так уж много от оригинального Petya. Вредонос был построен на основе исходных кодов того самого «Пети», однако новая версия малвари настолько отличается от оригинала, что многие сочли логичным присвоить ей новое название.
С нашим подробным обзором NotPetya и сложившейся вокруг него ситуации можно ознакомиться здесь. Напомню, что малварь шифрует не только файлы пользователя, но и MFT (Master File Table), перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.
Более того, специалисты в области информационной безопасности пришли к выводу, что NotPetya – не шифровальщик в классическом понимании этого слова. Вредонос не просто шифрует файлы своих жертв, чтобы принести своим операторам финансовую выгоду, он умышленно уничтожает данные, причиняет как можно больше вреда и делает восстановление информации практически невозможным. Эксперты полагают, что NotPetya корректнее было бы называть вайпером (от английского wiper, «чистильщик»).
Таким образом, у жертв NotPetya практически нет надежды на восстановление пострадавшей информации. Платить выкуп злоумышленникам попросту бесполезно. Даже если жертвы не верят выводам экспертов, признавших NotPetya вайпером, у них все равно нет шансов. Дело в том, что после оплаты выкупа следует отправить злоумышленникам письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции по расшифровке данных. Однако уже вечером 27 июня 2017 года этот адрес был заблокирован администрацией сервиса Posteo. Писать попросту некуда и некому.
Взломать шифрование NotPetya или найти какой-либо полезный изъян в коде малвари пока никому не удалось. Однако неожиданно «подали голос» авторы оригинального вымогателя Petya, написанного в 2016 году: аккаунт @JanusSecretary в Twitter вновь активен. Напомню, что именно эту учетную запись злоумышленники использовали ранее, когда взломали конкурентов, разработавших шифровальщика Chimera, и опубликовали в открытом доступе ключи для дешифровки данных.
we're back havin a look in "notpetya" maybe it's crackable with our privkey #petya @hasherezade sadly missed 😉
— JANUS (@JanusSecretary) June 28, 2017
Разработчики малвари пишут, что они уже изучают код NotPetya и попробуют применить для зашифрованных файлов ключи от оригинального Petya.
К сожалению, ИБ-специалисты считают, что у авторов оригинального шифровальщика вряд ли что-то получится, так как NotPetya повреждает структуру диска умышленно, в частности шифрует MFT и удаляет ключ. После этого расшифровать полученный результат, скорее всего, не сможет уже никто.
Фото: Depositphotos