NotPetya - это деструктивная программа для уничтожения данных, - эксперты

Опубликовано: Четверг, 29 июня 2017 10:54

Эксперты Comae Technologies и "Лаборатории Касперского" пришли к выводу, что зловред NotPetya (Petna, ExPetr, Petya) является не шифрующим данные вымогателем (ransomware), а деструктивной программой уничтожения данных.

Об этом пишет Bleepingcomputer.

По словам экспертов, несмотря на то, что NotPetya был создан под видом вируса-шифровальщика, его прямое назначение - бесповоротное уничтожение данных на ПК.

Это связано с тем, что NotPetya генерирует идентификатор заражения для каждого компьютера. Зловред NotPetya не использует командный сервер, а использует идентификатор заражения для хранения информации о каждой зараженной жертве и ключ дешифрования.

ЧИТАЙТЕ ТАКЖЕ
Вирус Petya: вымогатели заработали более 10 тыс. долларов

Поскольку NotPetya генерирует случайные данные для конкретного идентификатора, процесс дешифрования невозможен, заявили в "Лаборатории Касперского". Шифрование данных, выполняемое вирусом, необратимо.

"Что это значит? Ну, во-первых, это самые плохие новости для жертв - даже если они заплатят выкуп, они не вернут свои данные. Во-вторых, это подкрепляет теорию о том, что главная цель ExPetr не была финансово мотивирована, а была направлена на деструкцию", - сказал Антон Иванов из команды "Лаборатории Касперского".

Исследования "Лаборатории Касперского" были подкреплены докладом основателя Comae Technologies Мэттом Суиче, который пришел к такому же выводу.

В своем отчете Суиче описывает ошибочную последовательность операций, из-за чего невозможно восстановить оригинальную MFT (таблицу основных файлов), которую NotPetya шифрует. Этот файл обрабатывает расположение файлов на жестком диске, и если этот файл остается зашифрованным, нет возможности узнать местрорасположение каждого файла на зараженном компьютере.

"Petya модифицирует диск таким образом, что он действительно может отменить внесенные изменения. В то время как [NotPetya] наносит необратимый ущерб для диска", - сказал Суиче.

"Оригинальный Petya был преступной разработкой для зарабатывания денег. Этот [NotPetya] определенно не предназначен для зарабатывания. Его назначение - быстрое распространение и нанесение ущерба под видом вымогателя", - заявил исследователь The Grugq.

Относя NotPetya к категории вирусов, которые стирают данные с диска, эксперты пришли к заключению, что этот зловред можно легко назвать кибероружием.