52

Petya – niektórzy zapłacili okup. I teraz mają jeszcze większy problem

Standardową praktyką w trakcie ataków typu ransomware jest pogodzenie się z faktem, iż na maszynie zostały zaszyfrowane pliki i niepłacenie żądanego okupu. Jeżeli jesteśmy zapobiegliwi, mamy to szczęście, że istnieją backupy i niektórzy je robią. Jeżeli nie - pozostaje nam tylko modlitwa o to, że pojawi się program, który znajdzie lukę w wirusie i zdoła odszyfrować dysk.

Jak podaje Kaspersky powołując się na Motherboard, niemiecki dostawca usług poczty elektronicznej zablokował adres e-mail podejrzany o przynależność do twórców Petya. To oznacza, że osoby dotknięte infekcją nie są w stanie skontaktować się z cyberprzestępcami, przesłać im bitcoinów i oczywiście, otrzymać klucza odszyfrowującego. To raczej ostateczny argument za tym, by w razie infekcji nawet nie myśleć o tym, by zapłacić okup. Wcześniej pisaliśmy dla Was o tym, że w przypadku, gdy dysponujemy sporą infrastrukturą sieciową, w przypadku tylko jednego komputera spróbował zapłacić okup, by sprawdzić, czy rzeczywiście zostają wysyłane klucze odszyfrowujące. Dlaczego? Bo jak na razie, byłaby to jedyna możliwość odzyskania dostępu do plików. Może to naiwne, ale liczyliśmy, że cyberprzestępcy zachowują się fair (tak, dziwnie to brzmi, ale pewne logiczne przesłanki za takim działaniem istnieją).

Tak się jednak nie stało – cyberprzestępcy wypięli się na ofiary tyłem, a teraz… nie mają już jedynego kanału komunikacyjnego

Teraz już wiadomo, że od początku ten atak był skierowany tylko na wyciągnięcie pieniędzy od ofiar. Liczne analizy wykazały, że inaczej niż w przypadku wcześniejszych wariantów ransomware, najnowsza wersja generowała „śmieciowy”, klucz instalacyjny. Eksperci przestudiowali mechanizm tworzenia owego klucza i okazało się, że osoby stojące za Petya nie mają fizycznej możliwości wygenerowania kodu, który pozwoli ofiarom na odblokowanie dostępu do danych. Wyłączenie adresu e-mail cyberprzestępców będzie mieć zatem tylko jeden skutek – cyberprzestępcy nie dostaną już żadnego ID portfeli użytkowników, co i tak niczego nie zmienia.

petya, okup

Na ten moment nie istnieje absolutnie żadna możliwość odszyfrowania plików zablokowanych przez Petya. Po sieci krążą pogłoski, jakoby istniały programy umożliwiające uzyskanie ponownego dostępu do plików, jednak warto zwrócić uwagę na dwie sprawy:

  • Po pierwsze, dostępne oprogramowanie dotyczy wcześniejszych wariantów Petya. W przypadku obecnie opisywanego zagrożenia jest bezużyteczne, gdyż cyberprzestępcy dobrze zabezpieczyli wirusa przed jego rozpracowaniem.
  • Po drugie, nie zdziwię się, jeżeli w sieci nie pojawią się programy udające tylko dekodery dla nowego wariantu wirusa. Może się okazać, że wraz z nimi pobierzemy kolejnego robaka, który wyrządzi szkody na naszym komputerze. Szczególną ostrożność należy przyłożyć do aplikacji, które „obiecują” stworzenie dysku USB/CD z dekoderem dla ransomware. Uruchomienie takowego programu może skończyć się źle. Jeżeli pojawi się sprawdzone „lekarstwo” na Petya, na pewno się z Wami tym podzielimy.

Petya szaleje po sieci – przeczytaj pozostałe teksty na ten temat!