Автор оригинального Petya опубликовал ключ дешифрования. Бесполезен для жертв NoPetya

2017-07-07 6089 комментарии
Автор оригинального шифровальщика Petya, известный под именем Janus Cybercrime Solutions, выпустил мастер-ключ дешифрования для всех прошлых версий Petya. Однако, ключ бесполезен для жертв NotPetya

Ключ может расшифровать файлы, заблокированные всеми троянами семейства Petya, за исключением NotPetya, который не является проектом данного хакера или группы хакеров.

Подлинность ключа расшифровки Petya подтверждена

Janus объявил об открытой публикации ключа в среду в своем твиттере. Зашифрованный файл с парольной защитой был выложен на сервере Mega.nz.

Исследователь компьютерной безопасности Hasherezade взломал файл вчера и поделился его содержимым:

Поздравления!

Вот наш секретный ключ secp192k1:

38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

Мы использовали схему ECIES (с AES-256-ECB) для шифрования пароля дешифрования в “личном коде” закодированном по BASE58.

Антон Иванов, исследователь из “Лаборатории Касперского” протестировал и подтвердил подлинность ключа.

Этот ключ является закрытым (серверным) ключом, используемым во время шифрования прошлых версий Petya. С помощью данного ключа можно создать дескрипторы. Раньше исследователи безопасности уже взламывали Petya, по крайней мере, в двух случаях, но доступ к закрытому ключу позволяет восстанавливать файлы намного быстрее, чем ранее известные методы.

Как удалить шифровальщики и восстановить данные

К сожалению, этот ключ дешифрования не будет таким полезным, как многие думают.

Большинство (оригинальных) кампаний Petya произошло в 2016 году, и в этом году было очень мало кампаний вредоносной программы. Пользователи, у которых были заблокированные файлы, уничтожили диски или заплатили выкуп за несколько месяцев до этого. Ключ поможет только тем жертвам, которые клонировали свои диски и сохранили копию зашифрованных данных.

Ключ бесполезен для жертв NotPetya

Этот ключ не поможет жертвам NotPetya, потому что шифровальщик NotPetya был создан путем “пиратства” оригинального трояна Petya и изменения его поведение с помощью заплаток. NotPetya использует другую процедуру шифрования и, как оказалось, не имеет никакого отношения к оригинальному Petya.

В 2016 году Janus был очень активен в Twitter, продвигая портал Ransomware as-a-Service (RaaS), где другие мошенники могли арендовать доступ к компилятору связки шифровальщиков Petya + Micha. После долгого молчания Janus объявился в 2017 году, чтобы отрицать любую причастность к вспышке NotPetya.

Hasherezade полагает, что Janus выпустил ключ дешифрования Petya из-за недавней вспышки NotPetya чтобы завершить свою операцию.

Janus - не первый автор, занимающаяся вымогательством, который обнародовал ключ дешифрования. Группа TeslaCrypt сделала то же самое весной 2016 года. В прошлом году Janus также взломал серверы своего конкурента - автора шифровальщика Chimera - и опубликовал ключи дешифрования.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?