Вирус-вымогатель с Украины оказался тупым и жестоким

На модерации Отложенный

 

Касперский сообщает: Терпилы, зараженные ExPetr, уже потеряли свои файлы БЕЗВОЗВРАТНО — даже если оплатят выкуп. Вирус-вымогатель с Украины оказался тупым и жестоким, как сами хохлы.

В прессе циркулировали предположения о том, что это все тот же WannaCry (но это не он), а также что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.

Основное отличие от аналогичной эпидемии WannaCry заключается в том, что на этот раз злоумышленники выбирали свои жертвы тщательнее: целью атаки стал преимущественно бизнес. Самое неприятное, что среди жертв в этот раз оказалось еще больше объектов критической инфраструктуры, чем в случае WannaCry. В частности, проблемы испытывал аэропорт «Борисполь».

Но особенно тревожная новость пришла из Чернобыля: на печально известной атомной электростанции от шифровальщика пострадала система мониторинга радиационной обстановки.

В случае если ваши данные уже пострадали от ExPetr, платить не надо ни при каких условиях. Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.