Вымогатель PETYA (ExPetr). Новости, способы лечения, обсуждение.

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,216
Реакции
6,393
Так здесь ID не используется и ничего во внешнюю сеть не отправляется. Выбирается рандомом ключ AES,
Вот про это я и говорю. Что выбрали рандомом и какой именно у тебя не имея никакого персонального ID ...
Ну, в таргеттированности атаки вопросов не возникает. Сомнения на счёт деструктивности.
А про деструктивность вопрос поднялся как раз из-за того, что они не предусмотрели уникального идентификатора сообщив который можно было бы получить персональный ключ. То есть делали шифровальщик не продумав (? ) процесс расшифровки при оплате им. Так что напрашивается вывод, что сделали не ради денег. Не исключено правда, что это просто недоработка.
Да и по расшифровке, дело тут не только в алгоритме шифрования файлов. А в том, что насколько знаю они так шифруют таблицу разделов, что восстановить её потом невозможно. То есть доступ к файлам ты не получишь. Так что даже будь у тебя дешифровщик и ключ, то это тебе ничего не даст.
 

Candellmans

Команда форума
Сообщения
6,877
Реакции
9,101
Операторы NotPetya доказали свою способность восстанавливать зашифрованные файлы

Хакеры, стоящие за масштабной атакой с использованием вредоносного ПО NotPetya (Petya.A), доказали свою способность восстанавливать зашифрованные им файлы. Об этом в среду, 5 июля, сообщило издание Motherboard.
88f689438ed991b511321e06f0de6e88.jpg

На прошлой неделе целый ряд экспертов по кибербезопасности пришли к выводу, что расшифровать заблокированные NotPetya файлы невозможно. Вредонос генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки. Какпояснилиспециалисты «Лаборатории Касперского», поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен.

По мнению экспертов, вредонос действует наподобие вымогательской программы, однако его истинным предназначением является уничтожение данных на компьютерах с целью саботажа. То есть, нажива не была целью стоящих за атаками хакеров. Тем не менее, в среду операторы вредоносадали о себезнать в интернете, пообещав за 100 биткойнов (около $250 тыс.) выпустить инструмент для расшифровки заблокированных NotPetya файлов.

Журналисты издания Motherboard связались с киберпреступниками в одном из чатрумов даркнета, указанном ими в уведомлении. Предварительно сотрудники издания обратились к эксперту ESET Антону Черепанову с просьбой предоставить образец зашифрованного NotPetya файла. Черепанов запустил вредонос на своем тестовом компьютере и прислал журналистам два файла – обычный документ Word и он же, зашифрованный вредоносом. При его открытии на компьютере вместо текста отображались бессвязные символы.

Журналисты отправили зашифрованный образец операторам NotPetya и попросили расшифровать его в качестве доказательства. К большому удивлению, спустя всего два часа после отправки хакеры прислали полностью восстановленный файл, что делает всю историю с NotPetya еще более загадочной. Если вредонос, как утверждают ИБ-эксперты, является кибероружием, а не вымогательским ПО, то зачем его операторы вдруг возникли из ниоткуда с требованием еще больших денег? С другой стороны, в некоторых случаях NotPetya повредил жесткие диски, и даже с ключом для дешифровки восстановить файлы все равно будет нельзя.

Сотрудники издания отправили на проверку хакерам еще один файл, но на этот раз остались ни с чем. По словам Черепанова и исследователя безопасности MalwareTech, хакеры, с которыми общались журналисты, действительно имеют доступ к коду вредоноса, так как они использовали закрытый ключ шифрования NotPetya для подписи своего уведомления.

http://www.securitylab.ru/news/487160.php
 
Последнее редактирование:

Theriollaria

Ветеран
Сообщения
1,328
Реакции
2,923
Больше интересует вопрос, кто и зачем энто сделал. Про кибероружие - бред несусветный.
На затравку 2 конспирологические версии:
1. Агрессивная реклама (смотрите мол - чиво могём)
2. Шумовое прикрытие чиво-то более интересного
Имеют право на существование энти версии? Шо скажут it-мастодонты?
А чем вариант с "Оружие" не нравится? Ну и реклама заодно. Прошли времена когда вирусы делались просто так. сейчас это серьезный бизнес. Наши почты вон до сих пор в полудохлом состоянии работают. Так что демонстрация удалась.
 

Candellmans

Команда форума
Сообщения
6,877
Реакции
9,101
Наши почты вон до сих пор в полудохлом состоянии работают.
100% - лучшая тестовая площадка-пользователи...\ Хотя можно и не успеть "сесть на поезд" и быть "догоняющим"....
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,630
Реакции
6,088
Вот про это я и говорю. Что выбрали рандомом и какой именно у тебя не имея никакого персонального ID ...
Ты не понял. Те шифровальщики, о которых ты говоришь, не хранили на компе зашифрованный ключ, поэтому требовался ID, который передавался на сервер злоумышленников вместе с публичным ключом.
Здесь ничего не передаётся, а алгоритм AES симметричный. Неважно, какой рандомный ключ получился. Он подходит и для шифрования, и для дешифровки.

Операторы NotPetya доказали свою способность восстанавливать зашифрованные файлы
Ну вот, об этом я и говорил.

Да и по расшифровке, дело тут не только в алгоритме шифрования файлов. А в том, что насколько знаю они так шифруют таблицу разделов, что восстановить её потом невозможно. То есть доступ к файлам ты не получишь. Так что даже будь у тебя дешифровщик и ключ, то это тебе ничего не даст.
В любом случае жесткий диск можно подключить к другому ПК. Зачём такие сложности - это уже другой вопрос.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,216
Реакции
6,393
В любом случае жесткий диск можно подключить к другому ПК.
подключить можно, но какой толк от этого если вся таблица разделов пошифрована? То есть своих файлов ты не увидишь.
Другое дело, что если будет ещё отдельный дешифратор, который к примеру будет запускать с Live CD и заменять загрузочную область...
 
Сверху Снизу