NotPetya: trwa „AMA” z napastnikiem. Chce 100 BTC za odszyfrowanie danych
Przebieg ataku NotPetya i jego konsekwencje obfitują w zwroty akcji, których nie powstydziłby się Manoj Shyamalan. Gdy okazało się już, że Petya to nie Petya, a ransomware to nie do końca ransomware, pojawiły się informacje, że serwery M.E.Doc – programu, którego kanał aktualizacji stał się wektorem ataku – zostały przejęte najpóźniej w kwietniu. Mało? Mamy więcej.
05.07.2017 | aktual.: 05.07.2017 18:37
Wcześniej jasnym stało się odszyfrowanie danych na zaatakowanych maszynach nie jest możliwe na podstawie identyfikatora wyświetlanego przez NotPetyę. Wyjaśniało to decyzję Posteo – dostawcy wykorzystywanej do ataku usługi pocztowej, który poprzez blokadę skrzynki bezwzględnie uniemożliwił skuteczne opłacenie okupu. Do tego czasu na adresie atakujących pojawiły się 4.03 BTC, czyli niecałe 39 tys. złotych. Jak informuje Zaufana Trzecia Strona, dziś bitcoiny zostały przez atakujących przeniesione na inne rachunki.
Here we go ! #NotPetya statement on DeepPaste https://t.co/JTk3V102QI pic.twitter.com/gN18uCppyB
— codelancer (@codelancer) 4 lipca 2017Następnie w serwisie DeepPaste pojawił się komunikat, którego autor żąda 100 BTC, czyli niemal 960 tys. złotych za udostępnienie prywatnego klucza, który odszyfruje wszystkie unikalne klucze przechowywane na pamięci zainfekowanych urządzeń. Dzięki niemu możliwe ma być odszyfrowanie danych, jednak nie sektora rozruchowego i tablicy partycji. Załączone do wiadomości dowody potwierdzają, że autor dysponuje wspomnianym kluczem do klucza.
Najciekawsze jednak, że z jednym z atakujących, lub przynajmniej kimś, kto się za niego podaje. można. nawet… porozmawiać. Na DeepPaste zostawiono bowiem adres w domenie .onion do czatu hostowanego w usłudze Mattermost. Jak dotąd osoba podająca się za atakującego stwierdziła między innymi, że przeprowadziła atak dla pieniędzy oraz odszyfrowała posiadanym kluczem plik zaszyfrowany NotPetyą, który dostarczyła redakcja Motherboard.
