Кибератака с использованием вируса NotPetya не имела своей целью получение денег, поскольку в отличие от своей ранеей версии (Petya) и WannaCry он не предусматривает восстановление зараженных файлов, а удаляет их навсегда, делая уплату денежного выкупа бесполезной. К такому выводу пришли в «Лаборатории Касперского», сообщают vesti.ru.
В компании пояснили, что у создателей вируса нет возможности расшифровать диск, после того как он был зашифрован. Шифрование было проводилось по стандартной надежной схеме. Для расшифровки нужен уникальный идентификатор конкретной установки трояна, а его нет. Таким образом, жертвы нового вируса-вымогателя не смогут вернуть свои файлы после заражения.
«Можно предполагать, что получение денег не было мотивом злоумышленников», — сказали в «Лаборатории Касперского». Там также отметили, что шифрование похоже на код международной группировки BlackEnergy. Однако кто за ней стоит, в компании не знают.
Вирусная атака началась 27 июня. Больше всего она затронула сайты Украины, Италии и Израиля. На экранах зараженных компьютеров появляется сообщение с требованием перевести $300 в биткоинах по указанному адресу, после чего пользователям вышлют на e-mail ключ для разблокировки компьютеров.
Ранее Gazeta.ru писала, что эксперты пришли к выводу, что вирус Petya не вымогатель, а стиратель, и на деле представляет собой куда большую угрозу, чем WannaCry. Хакеры требовали выкуп от пользователей зараженных компьютеров, чтобы разблокировать личные данные, но на этот раз вирус не шифровал их — он просто стирал жесткий диск целиком, не оставляя возможности спасти информацию.
Эксперт по информационной безопасности Мэтт Свише сообщил в своем блоге, что ранняя версия вируса Petya технически имела способность шифровать файлы пользователя, а его обновленный собрат, который теперь зовется NotPetya, наносит необратимый ущерб. По словам Свише, «Petya 2016 года модифицирует диск так, что в принципе изменения можно обратить, в то время как Petya 2017 года бесповоротно поражает систему».
По словам Свише, целью вымогателя является получение денежной выгоды, в то время как стиратель направлен исключительно на уничтожение и нанесение ущерба.
К такому же выводу пришла и «Лаборатория Касперского», которая поменяла имя вируса на ExPetr, сославшись на то, что «прошлогодний» Petya относится совсем к другому семейству. «Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы», — сообщили компании.
Программист Маркус Хатчинс, ставший знаменитым после того, как смог случайно остановить распространение вируса WannaCry, не считает, что ранняя версия Petya была специально модифицирована, чтобы превратить его в стирателя. По его мнению, необратимые повреждения жесткого диска не были спланированы злоумышленниками заранее.
