Оригинальный вымогатель Petya, появившийся в 2016 году, был создан группировкой или хакером-одиночкой, известным как Janus Cybercrime Solutions — @JanusSecretary в Twitter. Напомню, что именно эту учетную запись злоумышленники использовали ранее, когда взломали конкурентов, разработавших шифровальщика Chimera, и опубликовали в открытом доступе ключи для дешифровки данных.

После эпидемии NotPetya, начавшейся 27 июня 2017 года, авторы оригинального вымогателя вновь проявили активность. Разработчики малвари сообщили, что они изучают код NotPetya и попробуют применить для зашифрованных файлов ключи от оригинального Petya. Еще тогда ИБ-специалисты предположили, что у авторов оригинального шифровальщика вряд ли что-то получится, так как NotPetya повреждает структуру диска умышленно, в частности шифрует MFT и удаляет ключ. После этого расшифровать полученный результат, скорее всего, не сможет уже никто.

Теперь Janus Cybercrime Solutions вновь заявили о себе. На этот раз злоумышленники опубликовали в открытом доступе, на Mega.nz, защищенный паролем архив с мастер-ключом для всех версий Petya: оригинального шифровальщика 2016 года; второй версии Petya, объединенной с вымогателем Mischa; и третьей версии, известной под именем GoldenEye.

Специалисты уже проверили публикацию и убедились, что ключ подлинный. Так, специалист Malwarebytes еще вчера сумела взломать защиту архива и опубликовала его содержимое:

«Поздравляем!
Вот наш secp192k1  ключ:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Мы использовали схему ECIES (AES-256-ECB) для шифрования пароля дешифровки в «Personal Code», который закодирован BASE58», — писали злоумышленники.

Также мастер-ключ уже исследовал специалист «Лаборатории Касперского» Антон Иванов, который так же подтвердил его подлинность.

Напомню, что ранее экспертам уже удавалось взломать шифрование оригинального Petya, но теперь, с мастер-ключом, инструменты для дешифровки должны работать быстрее и надежнее. Впрочем, учитывая, что вредоносная кампания оригинального Petya была запущена в 2016 году, сомнительно, что в настоящее время у многих пострадавших на руках по-прежнему есть нерасшифрованные данные или их копии.

Также уже сейчас очевидно, что мастер-ключ, к сожалению, никак не поможет жертвам недавней эпидемии NotPetya, так как вредонос слишком сильно отличается от оригинального Petya, у которого была «позаимствована» часть исходного кода. Так, исследователи уже пришли к выводу, что шифрование NotPetya устроено иным образом.



3 комментария

  1. qip

    08.07.2017 at 09:20

    на мега нет рабочих ссылок

  2. Themistocles

    10.07.2017 at 10:38

    Сомневаюсь, что много людей сохранили зашифрованные файлы с того года…

  3. Int

    10.07.2017 at 16:40

    > так же подтвердил
    Пробел лишний, или имеется в виду, что подтвердил теми же словами или же через твиттер, как и специалист Malwarebytes?

Оставить мнение