Хакеры расшифровали один из полученных от журналистов файлов, зашифрованных NotPetya.
Хакеры, стоящие за масштабной атакой с использованием вредоносного ПО NotPetya (Petya.A), доказали свою способность восстанавливать зашифрованные им файлы. Об этом в среду, 5 июля, сообщило издание Motherboard.
На прошлой неделе целый ряд экспертов по кибербезопасности пришли к выводу, что расшифровать заблокированные NotPetya файлы невозможно. Вредонос генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки. Как пояснили специалисты «Лаборатории Касперского», поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен.
По мнению экспертов, вредонос действует наподобие вымогательской программы, однако его истинным предназначением является уничтожение данных на компьютерах с целью саботажа. То есть, нажива не была целью стоящих за атаками хакеров. Тем не менее, в среду операторы вредоноса дали о себе знать в интернете, пообещав за 100 биткойнов (около $250 тыс.) выпустить инструмент для расшифровки заблокированных NotPetya файлов.
Журналисты издания Motherboard связались с киберпреступниками в одном из чатрумов даркнета, указанном ими в уведомлении. Предварительно сотрудники издания обратились к эксперту ESET Антону Черепанову с просьбой предоставить образец зашифрованного NotPetya файла. Черепанов запустил вредонос на своем тестовом компьютере и прислал журналистам два файла – обычный документ Word и он же, зашифрованный вредоносом. При его открытии на компьютере вместо текста отображались бессвязные символы.
Журналисты отправили зашифрованный образец операторам NotPetya и попросили расшифровать его в качестве доказательства. К большому удивлению, спустя всего два часа после отправки хакеры прислали полностью восстановленный файл, что делает всю историю с NotPetya еще более загадочной. Если вредонос, как утверждают ИБ-эксперты, является кибероружием, а не вымогательским ПО, то зачем его операторы вдруг возникли из ниоткуда с требованием еще больших денег? С другой стороны, в некоторых случаях NotPetya повредил жесткие диски, и даже с ключом для дешифровки восстановить файлы все равно будет нельзя.
Сотрудники издания отправили на проверку хакерам еще один файл, но на этот раз остались ни с чем. По словам Черепанова и исследователя безопасности MalwareTech, хакеры, с которыми общались журналисты, действительно имеют доступ к коду вредоноса, так как они использовали закрытый ключ шифрования NotPetya для подписи своего уведомления.
Антивирусный эксперт «Лаборатории Касперского» Антон Иванов пояснил, что специалисты имели ввиду говоря о невозможности восстановления данных после кибератаки NotPetya:
Вредоносное ПО ExPetr действует следующим образом:
1. При запуске оно пытается перезаписать главную загрузочную запись (MBR) диска, заменяя ее вредоносным кодом
2. Шифрует файлы на диске с помощью алгоритмов AES+RSA
3. После завершения шифрования компьютер перезагружается
4. После перезагрузки вредоносный код из MBR начинает шифровать главную файловую таблицу (MFT) в разделах NTFS с помощью алгоритма salsa20
5. Жертва видит экран с требованием выкупа и с набором символов (идентификатором), который предлагается прислать злоумышленникам для расшифровки конкретной машины
Шифрование главной файловой таблицы и шифрование файлов на диске – это две разные процедуры в рамках функционала данного вредоноса.
Если атакованный компьютер прошел все эти этапы, то восстановить MFT не представляется возможным даже злоумышленникам. Каждая жертва видит специальный идентификатор, который создатели вредоноса предлагают использовать для дешифровки файловой таблицы. Однако этот идентификатор – это просто бессмысленный набор символов, который не может идентифицировать жертву.
Однако есть еще один сценарий атаки: если зловред атакует машину, у пользователя которой нет администраторских прав, то у него не получится перезаписать MBR и зашифровать MFT, в таком случае он переходит на второй этап и начинает шифровать файлы. В этом сценарии жертва увидит другую заставку и другой идентификатор заражения, чем в случае полного цикла атаки. И в таком случае этот идентификатор – не набор случайных знаков, а данные необходимые для расшифровки. В таком случае злоумышленники могут иметь возможность расшифровать файлы с помощью ключа.
В Матрице безопасности выбор очевиден