Журналисты известного ресурса Motherboard попросили киберпреступников, связанных с шифровальщиком NotPetya расшифровать заблокированный угрозой файл. Хакеры успешно справились с задачей, но это не означает, что жертвы программы-вымогателя смогут вернуть свои файлы.
Таким образом, вопреки распространенному мнению некоторых экспертов по безопасности, зашифрованные NotPetya файлы, действительно можно восстановить. Это успешно доказали злоумышленники.
Исследователи в области компьютерной безопасности большую часть прошлой недели обсуждали, смогут ли жертвы NotPetya когда-либо восстановить доступ к своим данным. Многие специалисты утверждали, что вредоносная программа была создана для нанесения ущерба, а не для извлечения прибыли.
В среду хакеры, связанные с NotPetya предложили открыто опубликовать ключ дешифрования, который сможет разблокировать все зараженные файлы за 100 биткоинов (примерно 250 000 долларов США). Хакеры сообщили ресурсу Motherboard, что жертвы могут произвести оплату на новый кошелек, который отличается от показываемого шифровальщиком.
Успешное дешифрование тестового файла делает NotPetya еще более загадочной угрозой. Если хакеры на самом деле не хотят возвращать файлы, зачем им себя обозначать? В любом случае, поскольку шифровальщик все же повреждает диски некоторых жертв, даже если хакеры предоставляют ключ дешифрования, некоторые жертвы не смогут восстановить доступ к своим данным.
Портал Motherboard связался с хакерами с помощью чат-комнаты в сети "Dark web". Создание чата было анонсировано на сервисах Pastebin и DeepPaste.
Хакеры предложили бесплатно расшифровать один файл, чтобы доказать свою причастность угрозе. Ресурс Motherboard попросил Антона Черепанова, старшего вирусного аналитика ESET, предоставить файл, зашифрованный NotPetya. Черепанов запустил шифровальщик на виртуальной машине и отправил два файла: обычный документ Word, содержащий информацию о программном обеспечении Microsoft, и тот же файл, зашифрованный NotPetya. Версия файла, зашифрованного NotPetya, содержала "кракозябры" при открытии в текстовом редакторе.
Примерно через два часа после того, как хакеры получили зашифрованный файл, они отправили уже расшифрованный файл, который соответствовал оригинальному, документу Word. Это говорит о том, что у хакеров действительно есть ключ, способный разблокировать файлы, зараженные NotPetya. Motherboard также отправил хакеру еще один файл от другого исследователя, чтобы расшифровать, но к этому моменту хакер стал недоступен.
Любопытно, что Черепанов и независимый исследователь безопасности, известный как MalwareTech, которые проанализировали образец NotPetya, сообщили, что хакеры в чате продемонстрировали, что у них есть доступ к коду NotPetya. Хакеры использовали закрытый ключ NotPetya для подписи объявления, которое они опубликовали на сервисах Pastebin и DeepPaste во вторник.
Черепанов сообщил Motherboard в онлайн-чате: "У них ключ, так что это должны быть те же люди".
На прошлой неделе шифровальщик NotPetya распространился по всему миру с помощью обновления для бухгалтерского программного обеспечения под названием MEDoc. Атака затронула компании в США, Великобритании и по всей Европе. Порты были закрыты, работа супермаркетов парализована, а организации были вынуждены прибегать к ручке и бумаге.
Некоторые исследователи предположили, что в отличие от других видов троянов-шифровальшиков, которые используются для вымогательства денег, целью NotPetya было просто посеять хаос, зашифровав файлы и не давая жертвам никакого способа их разблокировать. По сути, они рассматривали NotPetya как "вайпер", а не шифратор.
Исследователи из "Лаборатории Касперского" писали, что хакеры не могут расшифровать файлы, даже если жертва заплатила выкуп. Мэтью Сюиш (Matt Suiche) из Comae Technologies заявил, что в некоторых случаях вредоносная программа постоянно и необратимо повреждает диск. В кампании NotPetya также использовался неаккуратный механизм оплаты: жертвы должны были отправлять хакерам уникальный код после отправки выкупа, но поставщик электронной почты закрыл учетную запись хакеров вскоре после того, как NotPetya прогремел на весь мир.
"Это должны быть те же люди"
Тот факт, что хакеры могут расшифровать даже часть файлов, ставит под сомнение предположение, что эта атака не проводилась по финансовым причинам.
MalwareTech сообщил Motherboard: "Если бы речь шла не о деньгах, как утверждают люди, зачем возвращаться и доказывать, что у вас есть ключ и просить деньги за это? Это просто сумасшествие".
Нужно прояснить, что хакеры расшифровали только один маленький файл. Возможность дешифрования одного файла показывает, что хакеры связаны с атакой NotPetya, но это не обязательно означает, что они смогут дешифровать файлы в массовом порядке.
Далеко не все исследователи безопасности, которые проанализировали вредоносное ПО, открыто заявляли, что дешифрование файлов невозможно. Ранее F-Secure
Сюиш считает, что хакеры занимаются настоящим "троллингом" и пытаются запутать исследователей и журналистов. Более того, есть вероятность, что если MFT зашифрован, то некоторые файлы не могут быть дешифрованы, а жертвы могут не предоставить хакерам уникальный цифровой отпечаток, который создается для каждого пользователя. Уникальный отпечаток содержится в файле readme.txt, который хакеры требуют для идентификации жертв.
"Они уже поимели пользователей, даже если опубликуют закрытый ключ"
Черепанов, так и Сюиш заявили, что шифровальщик содержит ошибки, которые могут помешать хакерам расшифровать файлы размером более 1 МБ (файл, который был отправлен хакерам имел размер около 200 КБ.) Ресурс Motherboard отправил хакерам дополнительный файл, но к тому времени хакеры перестали реагировать на сообщения. Несколько других журналистов отметили в Twitter, что хакеры также не ответили на их вопросы.
Сюиш поделился своим мнением: "Они уже поимели пользователей, даже если опубликуют закрытый ключ. Хакеры уже поставили людей в ситуацию, когда они не могут восстановить свои файлы и данные, даже если ключ дешифрования будет выпущен".
В частном разговоре с порталом хакеры заявили, что несколько человек проявили интерес к предоставлению 100 биткойнов для выпуска ключа. Они также сказали, что стоимость не будет пересмотрена.
В среду утром хакеры написали в чате: "Мы принимаем только реальные предложения".
Ближе к полудню хакеры сказали, что они закрывают чат до следующего дня.
Угрозы безопасности
• AMD устранила уязвимость процессоров, позволявшую загружать вредоносные патчи микрокода
• «Доктор Веб» рассказал про самые опасные угрозы для Android
• ИИ-стартап DeepSeek допустил утечку данных: открытая база содержала историю чатов и ключи API
• Apple исправила первую в этом году активно эксплуатируемую уязвимость нулевого дня
• NVIDIA устранила уязвимости в драйверах графики, которые могли привести к утечке данных и компрометации системы
• Ботнет MikroTik использует уязвимость в DNS для распространения вирусов