Autor Petya ransomwarea želi da pomogne žrtvama NotPetya malvera

Janus kaže: Možda možemo da ga krekujemo uz pomoć našeg privatnog ključa.

Autor Petya ransomwarea želi da pomogne žrtvama NotPetya malvera

Posle 6 meseci ćutanja, autor zloglasnog Petya ransomwarea (@JanusSecretary) se oglasio na Tviteru. On je izrazio želju da pomogne žrtvama da vrate svoje fajlove koje je zaključala nova verzija Petya ransomwarea, poznata i kao NotPetya.

Janus je tvitnuo da „su se vratili i da analiziraju NotPetya“. Zatim je napisao: „Možda možemo da ga krekujemo uz pomoć našeg privatnog ključa. Molimo vas da uploadujete prvi megabajt sa inficiranog uređaja, to će pomoći“. Ova izjava sugeriše da autor Petya ransomwarea možda ima master ključ za dekripciju što bi značilo da on funkcioniše i za novu Petya varijantu.

Janus je drugim hakerima prodao Petya ransomware u formi RaaS u martu 2016. godine. To znači da svako može da pokrene Petya ransomware napad jednim klikom, da zaključa bilo čiji sistem i da zahteva otkupninu kako bi ga otključao. Ukoliko žrtva plati, Janus dobija procenat od datog iznosa. Međutim, od decembra se Janus nije pojavljivao u sajber prostoru.

Prošlog utorka, važna infrastrukturna postrojenja i korporacije u Ukrajini i još 64 zemlje su pogođena globalnim sajber napadom koji je bio sličan WannaCry napadu koji je onesposobio na desetine hiljada sistema širom sveta. U početku je kao glavni „krivac“ za napad označen NotPetya ransomware, odnosno nova Petya varijanta, ali kasnije je priča dobila interesantan preokret. Pre 2 dana stručnjaci su otkrili da NotPetya nije ransomware već malver koji briše podatke (wiper malware). On potpuno briše sve podatke u targetiranim sistemima. NotPetya koristi EternalBlue i EternalRomance (alati američke nacionalne agencije za bezbednost NSA) kako bi se rapidno raširila po mreži, a pomoću WMIC i PSEXEC alata malver se na računare izvršava sa udaljene lokacije.

Eksperti čak veruju da je pravi napad zamaskiran kako bi se odvratila pažnja svetske javnosti od državno sponzorisanog napada i preusmerila na širenje malvera. Izvorni kod Petya malvera nikada nije otkriven, ali neki stručnjaci pokušavaju da ga otkriju tehnikom obrnutog inženjeringa.

Janus ispituje novi kod, a čak i ako njegov master ključ za dekripciju uspe da otključa MFT na zaraženom hard disku, to neće pomoći žrtvama sve dok se ne pronađe način da se sredi MBR koji NotPetya briše bez pravljenja kopija.

Izvor: thehackernews.com