Оригинальный вымогатель Petya, появившийся в 2016 году, был создан группировкой или хакером-одиночкой, известным как Janus Cybercrime Solutions — @JanusSecretary в Twitter. Напомню, что именно эту учетную запись злоумышленники использовали ранее, когда взломали конкурентов, разработавших шифровальщика Chimera, и опубликовали в открытом доступе ключи для дешифровки данных.
После эпидемии NotPetya, начавшейся 27 июня 2017 года, авторы оригинального вымогателя вновь проявили активность. Разработчики малвари сообщили, что они изучают код NotPetya и попробуют применить для зашифрованных файлов ключи от оригинального Petya. Еще тогда ИБ-специалисты предположили, что у авторов оригинального шифровальщика вряд ли что-то получится, так как NotPetya повреждает структуру диска умышленно, в частности шифрует MFT и удаляет ключ. После этого расшифровать полученный результат, скорее всего, не сможет уже никто.
Теперь Janus Cybercrime Solutions вновь заявили о себе. На этот раз злоумышленники опубликовали в открытом доступе, на Mega.nz, защищенный паролем архив с мастер-ключом для всех версий Petya: оригинального шифровальщика 2016 года; второй версии Petya, объединенной с вымогателем Mischa; и третьей версии, известной под именем GoldenEye.
"They're right in front of you and can open very large doors" https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog 😉
— JANUS (@JanusSecretary) July 5, 2017
Специалисты уже проверили публикацию и убедились, что ключ подлинный. Так, специалист Malwarebytes еще вчера сумела взломать защиту архива и опубликовала его содержимое:
«Поздравляем!
Вот наш secp192k1 ключ:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Мы использовали схему ECIES (AES-256-ECB) для шифрования пароля дешифровки в «Personal Code», который закодирован BASE58», — писали злоумышленники.
Также мастер-ключ уже исследовал специалист «Лаборатории Касперского» Антон Иванов, который так же подтвердил его подлинность.
The published #Petya master key works for all versions including #GoldenEye pic.twitter.com/tTRLZ9kMnb
— Anton Ivanov (@antonivanovm) July 6, 2017
Напомню, что ранее экспертам уже удавалось взломать шифрование оригинального Petya, но теперь, с мастер-ключом, инструменты для дешифровки должны работать быстрее и надежнее. Впрочем, учитывая, что вредоносная кампания оригинального Petya была запущена в 2016 году, сомнительно, что в настоящее время у многих пострадавших на руках по-прежнему есть нерасшифрованные данные или их копии.
Также уже сейчас очевидно, что мастер-ключ, к сожалению, никак не поможет жертвам недавней эпидемии NotPetya, так как вредонос слишком сильно отличается от оригинального Petya, у которого была «позаимствована» часть исходного кода. Так, исследователи уже пришли к выводу, что шифрование NotPetya устроено иным образом.