NotPetya продолжает удивлять

Неизвестные киберпреступники, стоящие за атакой шифровальщика NotPetya, которая нанесла серьезный удар по ряду крупных компаний во многих странах мира, в очередной раз поставили в тупик экспертов. Ранее многие исследователи пришли к выводу, что расшифровка заблокированных вредоносным ПО файлов принципиально невозможна. На этом основании был сделан вывод, что требование выкупа является лишь ширмой, а саму атаку следует рассматривать как применение кибероружия, целью которого является саботаж и дестабилизация мировой экономики.

Однако организаторы атаки сумели вновь удивить специалистов по кибербезопасности. Они создали чат-рум в «темной сети» darknet, в котором объявили, что готовы предоставить ключ для расшифровки заблокированных файлов за 100 биткоинов (около 256 тысяч долларов). Журналисты ресурса Motherboard решили проверить, насколько реальны эти обещания. По их просьбе исследователь компании ESET Антон Черепанов запустил NotPetya на виртуальной машине – и предоставил журналистам исходный файл в формате Word и его зашифрованный зловредом вариант. Журналисты переслали зашифрованный файл операторам NotPetya с просьбой разблокировать его, тем самым доказав, что это возможно. Менее чем через два часа хакеры прислали расшифрованный документ, содержание которого полностью совпало с исходным файлом.

Теперь эксперты вынуждены признать, что NotPetya действительно может использоваться как зловред-вымогатель, и расшифровка заблокированных им файлов возможна. Но поведение хакеров выглядит еще более загадочным. Они смогли инфицировать системы таких крупнейших компаний как «Роснефть», FedEx, Merck и Cadbury, для любой из которых сумма в 256 тысяч долларов просто несерьезна. И понять, что же в действительности движет организаторами атаки, становится еще сложнее.