Эксперты Comae Technologies и “Лаборатории Касперского” пришли к выводу, что зловред NotPetya (Petna, ExPetr, Petya) является не шифрующим данные вымогателем (ransomware), а деструктивной программой уничтожения данных.

Об этом пишет Bleepingcomputer.

По словам экспертов, несмотря на то, что NotPetya был создан под видом вируса-шифровальщика, его прямое назначение – бесповоротное уничтожение данных на ПК.

Это связано с тем, что NotPetya генерирует идентификатор заражения для каждого компьютера. Зловред NotPetya не использует командный сервер, а использует идентификатор заражения для хранения информации о каждой зараженной жертве и ключ дешифрования.

ЧИТАЙТЕ ТАКЖЕ: Вирус Petya: вымогатели заработали более 10 тыс. долларов

Поскольку NotPetya генерирует случайные данные для конкретного идентификатора, процесс дешифрования невозможен, заявили в “Лаборатории Касперского”. Шифрование данных, выполняемое вирусом, необратимо.

“Что это значит? Ну, во-первых, это самые плохие новости для жертв – даже если они заплатят выкуп, они не вернут свои данные. Во-вторых, это подкрепляет теорию о том, что главная цель ExPetr не была финансово мотивирована, а была направлена на деструкцию”, – сказал Антон Иванов из команды “Лаборатории Касперского”.

Исследования “Лаборатории Касперского” были подкреплены докладом основателя Comae Technologies Мэттом Суиче, который пришел к такому же выводу.

В своем отчете Суиче описывает ошибочную последовательность операций, из-за чего невозможно восстановить оригинальную MFT (таблицу основных файлов), которую NotPetya шифрует. Этот файл обрабатывает расположение файлов на жестком диске, и если этот файл остается зашифрованным, нет возможности узнать местрорасположение каждого файла на зараженном компьютере.

“Petya модифицирует диск таким образом, что он действительно может отменить внесенные изменения. В то время как [NotPetya] наносит необратимый ущерб для диска”, – сказал Суиче.

“Оригинальный Petya был преступной разработкой для зарабатывания денег. Этот [NotPetya] определенно не предназначен для зарабатывания. Его назначение – быстрое распространение и нанесение ущерба под видом вымогателя”, – заявил исследователь The Grugq.

Относя NotPetya к категории вирусов, которые стирают данные с диска, эксперты пришли к заключению, что этот зловред можно легко назвать кибероружием.

Во вторник, 27 июня, в Украине начал стремительно распространяться компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий.
Специалист компании Cybereason Амит Серпер (Amit Serper) нашел способ предотвратить заражение компьютеров вирусом Petya (NotPetya/SortaPetya/Petna).