Petya to nie ransomware. Odszyfrowanie danych niemożliwe
Wokół Petyi, nowego zagrożenia, które zaatakowało przedwczoraj komputery na całym świecie, najczęściej zaś na Ukrainie, w Rosji i Polsce, narosło już sporo teorii i hipotez. Wiemy już na przykład, że Petya z odkrytym w marcu zeszłego roku ransomware Petya niewiele ma wspólnego. Ale niewielu spodziewało się chyba, że Petya 2017 to... wcale nie jest ransomware.
29.06.2017 | aktual.: 02.07.2017 14:39
Pozwalają to stwierdzić wyniki analiz przeprowadzone przez ekspertów z Kaspersky Lab, którzy nie mają żadnych wątpliwości, że Petya to szkodliwe oprogramowanie typu wiper, a nie ransomware. Program nie umożliwia bowiem odszyfrowania danych, które po zainfekowaniu zostają bezpowrotnie utracone.
Update on #NotPetya #ExPetr: threat actors CAN'T decrypt files. Don't pay ransom. It won't help -> https://t.co/Df7tGqXO2Q
— Eugene Kaspersky (@e_kaspersky) 28 czerwca 2017Wiadomo to, dzięki unikalnemu numerowi identyfikacyjnemu, jaki generować ma Petya. Służy on do generowania prywatnego klucza deszyfrującego i atakujący chcą, by przesłać numer mailem po uiszczeniu okupu. Petyę od zagrożeń typu ransomware różni jednak to, że rzeczony numer to niezaszyfrowane dane dostarczane przez generator liczb pseudolosowych CryptGenRandom.
VLOG #2: Ransomware – jak się bronić?
ID nie zawiera żadnych danych, które pozwalałaby na wygenerowanie prywatnego klucza, dzięki któremu dane można byłoby odszyfrować. Być może już wczorajszej nocy wiedzieli o tym administratorzy Posteo, usługi pocztowej wykorzystywanej przez atakujących, którzy zablokowali dostęp do konta, a zarazem możliwość odszyfrowania danych po uiszczeniu okupu.
Spostrzeżenia Kaspersky Lab potwierdza również ekspert z Comae, Matt Suiche. Oprócz braku informacji o kluczu w samym numerze, zwraca on także, że program, który został wykorzystany w trwającym ataku, nie szyfruje danych a zwyczajnie nadpisuje początkowe sektory i modyfikuje MBR. Odzyskanie tak utraconych danych z całą pewnością nie jest możliwe dzięki opłaceniu okupu.