Операторы NotPetya доказали свою способность восстанавливать зашифрованные файлы
Хакеры, стоящие за масштабной атакой с использованием вредоносного ПО NotPetya (Petya.A), доказали свою способность восстанавливать зашифрованные им файлы. Об этом в среду, 5 июля, сообщило издание Motherboard. На прошлой неделе целый ряд экспертов по кибербезопасности пришли к выводу, что расшифровать заблокированные NotPetya файлы невозможно. Вредонос генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки. Как пояснили специалисты «Лаборатории Касперского», поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен. По мнению экспертов, вредонос действует наподобие вымогательской программы, однако его истинным предназначением является уничтожение данных на компьютерах с целью саботажа. То есть, нажива не была целью стоящих за атаками хакеров. Тем не менее, в среду операторы вредоноса дали о себе знать в интернете, пообещав за 100 биткойнов (около $250 тыс.) выпустить инструмент для расшифровки заблокированных NotPetya файлов. Журналисты издания Motherboard связались с киберпреступниками в одном из чатрумов даркнета, указанном ими в уведомлении. Предварительно сотрудники издания обратились к эксперту ESET Антону Черепанову с просьбой предоставить образец зашифрованного NotPetya файла. Черепанов запустил вредонос на своем тестовом компьютере и прислал журналистам два файла – обычный документ Word и он же, зашифрованный вредоносом. При его открытии на компьютере вместо текста отображались бессвязные символы. Журналисты отправили зашифрованный образец операторам NotPetya и попросили расшифровать его в качестве доказательства. К большому удивлению, спустя всего два часа после отправки хакеры прислали полностью восстановленный файл, что делает всю историю с NotPetya еще более загадочной. Если вредонос, как утверждают ИБ-эксперты, является кибероружием, а не вымогательским ПО, то зачем его операторы вдруг возникли из ниоткуда с требованием еще больших денег? С другой стороны, в некоторых случаях NotPetya повредил жесткие диски, и даже с ключом для дешифровки восстановить файлы все равно будет нельзя. Сотрудники издания отправили на проверку хакерам еще один файл, но на этот раз остались ни с чем. По словам Черепанова и исследователя безопасности MalwareTech, хакеры, с которыми общались журналисты, действительно имеют доступ к коду вредоноса, так как они использовали закрытый ключ шифрования NotPetya для подписи своего уведомления.