Ключ может расшифровать файлы, заблокированные всеми троянами семейства Petya, за исключением NotPetya, который не является проектом данного хакера или группы хакеров.
Подлинность ключа расшифровки Petya подтверждена
Janus объявил об открытой публикации ключа в среду в своем твиттере. Зашифрованный файл с парольной защитой был выложен на сервере Mega.nz.
"They&&re right in front of you and can open very large doors" https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog ;)
— JANUS (@JanusSecretary) 5 июля 2017 г.
Исследователь компьютерной безопасности Hasherezade взломал файл вчера и поделился его содержимым:
Поздравления!
Вот наш секретный ключ secp192k1:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Мы использовали схему ECIES (с AES-256-ECB) для шифрования пароля дешифрования в “личном коде” закодированном по BASE58.
Антон Иванов, исследователь из “Лаборатории Касперского” протестировал и подтвердил подлинность ключа.
The published #Petya master key works for all versions including #GoldenEye pic.twitter.com/tTRLZ9kMnb
— Anton Ivanov (@antonivanovm) 6 июля 2017 г.
Этот ключ является закрытым (серверным) ключом, используемым во время шифрования прошлых версий Petya. С помощью данного ключа можно создать дескрипторы. Раньше исследователи безопасности уже взламывали Petya, по крайней мере, в двух случаях, но доступ к закрытому ключу позволяет восстанавливать файлы намного быстрее, чем ранее известные методы.
К сожалению, этот ключ дешифрования не будет таким полезным, как многие думают.
Большинство (оригинальных) кампаний Petya произошло в 2016 году, и в этом году было очень мало кампаний вредоносной программы. Пользователи, у которых были заблокированные файлы, уничтожили диски или заплатили выкуп за несколько месяцев до этого. Ключ поможет только тем жертвам, которые клонировали свои диски и сохранили копию зашифрованных данных.
Ключ бесполезен для жертв NotPetya
Этот ключ не поможет жертвам NotPetya, потому что шифровальщик NotPetya был создан путем “пиратства” оригинального трояна Petya и изменения его поведение с помощью заплаток. NotPetya использует другую процедуру шифрования и, как оказалось, не имеет никакого отношения к оригинальному Petya.
В 2016 году Janus был очень активен в Twitter, продвигая портал Ransomware as-a-Service (RaaS), где другие мошенники могли арендовать доступ к компилятору связки шифровальщиков Petya + Micha. После долгого молчания Janus объявился в 2017 году, чтобы отрицать любую причастность к вспышке NotPetya.
Hasherezade полагает, что Janus выпустил ключ дешифрования Petya из-за недавней вспышки NotPetya чтобы завершить свою операцию.
Janus - не первый автор, занимающаяся вымогательством, который обнародовал ключ дешифрования. Группа TeslaCrypt сделала то же самое весной 2016 года. В прошлом году Janus также взломал серверы своего конкурента - автора шифровальщика Chimera - и опубликовал ключи дешифрования.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО