Petya to nie ransomware. Odszyfrowanie danych niemożliwe

Wokół Petyi, nowego zagrożenia, które zaatakowało przedwczoraj komputery na całym świecie, najczęściej zaś na Ukrainie, w Rosji i Polsce, narosło już sporo teorii i hipotez. Wiemy już na przykład, że Petya z odkrytym w marcu zeszłego roku ransomware Petya niewiele ma wspólnego. Ale niewielu spodziewało się chyba, że Petya 2017 to... wcale nie jest ransomware.

Pozwalają to stwierdzić wyniki analiz przeprowadzone przez ekspertów z Kaspersky Lab, którzy nie mają żadnych wątpliwości, że Petya to szkodliwe oprogramowanie typu wiper, a nie ransomware. Program nie umożliwia bowiem odszyfrowania danych, które po zainfekowaniu zostają bezpowrotnie utracone.

Update on #NotPetya #ExPetr: threat actors CAN'T decrypt files. Don't pay ransom. It won't help -> https://t.co/Df7tGqXO2Q

— Eugene Kaspersky (@e_kaspersky) 28 czerwca 2017Wiadomo to, dzięki unikalnemu numerowi identyfikacyjnemu, jaki generować ma Petya. Służy on do generowania prywatnego klucza deszyfrującego i atakujący chcą, by przesłać numer mailem po uiszczeniu okupu. Petyę od zagrożeń typu ransomware różni jednak to, że rzeczony numer to niezaszyfrowane dane dostarczane przez generator liczb pseudolosowych CryptGenRandom.

ID nie zawiera żadnych danych, które pozwalałaby na wygenerowanie prywatnego klucza, dzięki któremu dane można byłoby odszyfrować. Być może już wczorajszej nocy wiedzieli o tym administratorzy Posteo, usługi pocztowej wykorzystywanej przez atakujących, którzy zablokowali dostęp do konta, a zarazem możliwość odszyfrowania danych po uiszczeniu okupu.

Spostrzeżenia Kaspersky Lab potwierdza również ekspert z Comae, Matt Suiche. Oprócz braku informacji o kluczu w samym numerze, zwraca on także, że program, który został wykorzystany w trwającym ataku, nie szyfruje danych a zwyczajnie nadpisuje początkowe sektory i modyfikuje MBR. Odzyskanie tak utraconych danych z całą pewnością nie jest możliwe dzięki opłaceniu okupu.