Ransomware-ul Petya/NotPetya şterge datele? Nu, este ceva diferit

Petna/NotPetya oferă mai multe ghicitori experţilor din IT

După asaltul lui WannaCry, lumea a fost nevoită să descopere metode de recuperare şi după atacul lui Petya/ExPetr/NotPetya. Cu toate că a fost menţionat faptul că atacul a fost pe o scală mai mică decât a virusului menţionat anterior, s-a dovedit că rezultatele au fost mai severe. Specialiştii din securitatea cibernetică au creat rapid un decriptor pentru WannaCry, însă este posibil ca pentru utilizatorii de NotPetya acest lucru să nu se întâmple.

Noi fapte descoperite

Pe 27 iunie, lumea a fost lovită de un malware care părea a fi o altă versiune a lui Petya . Analizele mai detaliate au dezvăluit:

• malware-ul, dublat ca şi NotPetya/Petya.A/Petrwrap, s-a dovedit a fi o versiune a lui Petya, însă cu codul sursă complet rescris
• virusul se încarcă în locul sistemului de operare Windows
• ţinteşte aceleaşi vulnerabilităţi
• cere 300 de dolari ca şi recompensă
• nu oferă un ID calculatorului afectat

Chiar dacă codul sursă este complet diferit, virusul se comportă similar cu versiunea originală a lui Petya. Se joacă cu setările de pornire care permit încărcarea malware-ului în locul Windows-ului.

Mai mult, rapoarte recente au sugerat că malware-ul, eventual, şterge fişierele victimelor. Cu toate acestea, aceste presupuneri au fost repede refuzate. Mai exact, malware-ul s-a dovedit a fi mai mult un asalt cibernetic decât un ransomware. Nici versiunea originală a lui Petya sau ultima deviaţie nu comunică cu serverele de Comandă şi Control.

Deci, virusul nu oferă un cod de identificare specific unui dispozitiv.. Pe scurt, fără aceste informaţii, victimele nu pot primi cheia de decriptare potrivită pentru fişierele lor. Mai mult, victimele lui NotPetya nu ar trebui să ia în considerare plata recompensei deoarece principalul domeniu de email a acestuia a fost închis.

Sursa infecţiei se află în Ucraina

Cu toate că această ameninţare virtuală a infectat mai multe corporaţii şi companii internaţionale din întreaga lume, în mod clar a manifestat o preferinţă pentru Ucraina. În ultima perioadă, această ţară a fost frecvent ţintită de către criminalii cibernetici.

Chiar şi aşa, rapoartele au dezvăluit rezultate uimitoare. Sursa lui NotPetya/Petna/Petya.A  vine de la software-ul de dezvoltare pentru contabilitate digitală din Ucraina, M.E. Doc. Profesioniştii din IT susţin că au dovezi precum că criminalii cibernetici s-au infiltrat în sistemul calculatoarelor din companie şi au corupt actualizările de reţea .

Deci, fiecare companie parteneră care a instalat acele actualizări de la compania mamă a fost infectată imediat.
Noile funcţii descoperite sugerează că acest malware ar putea fi vârful unei campanii politice cibernetice mai mare, contra Ucrainei. Reţineţi că imediat după ce WannaCry a apărut, malware-ul XData a cauzat şi mai multe avarii decât ultima ameninţare.

De la apariţia acestuia, au fost descoperite multe lucruri surprinzătoare, sperăm că analizele mai detaliate nu vor dezvălui doar lucruri intrigante ci şi trucuri pentru a termina permanent această infecţie.