Около 50 жертв шифровальщика ExPetr (также известного как Petya и NotPetya) уже успели заплатить примерно $10200 в биткоинах в надежде вернуть файлы, зашифрованные вымогателем.

Судя по всему, это не закончится ничем.

Исследователи Лаборатории Касперского обнаружили ошибку в коде зловреда, которая препятствует расшифровке файлов. Ранее немецкий e-mail провайдер Posteo заблокировал адреса создателей вируса, по которым жертвы могли бы с ними связаться для подтверждения платежей. Сочетание этих двух фактов оставляет тысячи жертв наедине со своими проблемами.

“Как показывает наш анализ, у жертв очень мало шансов вернуть данные”, — говорится в официальном сообщении Лаборатории Касперского. “Мы проанализировали часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Как сообщает Лаборатория Касперского, проблема состоит в том, что в ходе шифрования не создается осмысленный ID установки зловреда (в требовании выкупа пользователям выводится случайный набор символов), необходимый для отправки ключа, который мог бы быть использован для расшифровки. В случае оригинального шифровальщика Petya подобный ID создавался.

“В ExPetr этого нет — это означает, что злоумышленники не могут получить информацию, необходимую для расшифровки файлов”, — сообщает Лаборатория Касперского. “Иначе говоря, жертвы не смогут восстановить файлы”.

Также в составе ExPetr имеется вайпер (компонент уничтожения данных), который перезаписывает таблицу расположения файлов (Master FAT Table) и главную загрузочную записать (Master Boot Record) жесткого диска зараженного компьютера. Подобное деструктивное поведение не характерно для троянов-вымогателей. Известного исследователя это привело к выводу о том, что вымогатель как таковой был прикрытием атаки иного рода.

“Вымогатель был наживкой для прессы, данная версия Petya на самом деле уничтожает информацию в начальных секторах жестких дисков — подобное поведение мы видели у вайперов, например Shamoon”, — написал Мэтт Суиш из Comae Technologies в своем анализе зловреда. “Цель вайпера — уничтожение информации. Цель вымогателей — заработать денег. Совсем другие намерения. Другие мотивы. Другие сюжеты в СМИ”.

Категории: Вредоносные программы, Главное