Анализ, проведенный экспертами «Лаборатории Касперского», показал, что у жертв компьютерного вируса-шифровальщика Petya (он же NotPetya, он же ExPetr) изначально не было шансов вернуть свои файлы. Об этом говорится в посте, размещенном в блоге на сайте антивирусной компании.
Во вторник, 27 июня, началась эпидемия, вызванная очередным вирусом-шифровальщиком, которая, по мнению экспертов, «обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry».
«Существовали предположения о том, что это все тот же WannaCry (это не он), а также о том, что это какая-то вариация шифровальщика Petya (Petya.A, или Petya.D, или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr», — напоминают в «Лаборатории Касперского».
«Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт Eternal Blue, который был использован для распространения WannaCry», — указывают эксперты.
Они дают ряд советов корпоративным клиентам и пользователям домашних компьютеров (их угроза касается в меньшей степени, хотя защититься также не помешает, подчеркивают разработчики антивирусов), но при этом предупреждают, что если компьютер уже заражен данным шифровальщиком и файлы заблокированы, платить выкуп не имеет смысла.
«Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов», — объясняют в «Лаборатории Касперского».
Более того, у жертв вируса, как показал анализ компании, изначально не было шансов вернуть свои файлы, говорится в обновленной вечером в среду версии поста.
Исследователи поясняют, что проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
«Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае ExPetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов», — рассуждают эксперты.
«Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные», — заключают в «Лаборатории Касперского».
Создатели вируса-вымогателя Petya, который поразил 27 июня компьютеры в России, на Украине, а также в других странах Европы, в США и Азии, заработали на этом почти 4 биткоина, пишет РБК.