Создатели оригинальной версии Petya ищут контроружие против NotPetya

Страница авторов Petya в Twitter снова «ожила».

На этой неделе возобновила активность страница в Twitter, по всей вероятности принадлежащая авторам оригинальной версии вымогательского ПО Petya. С момента появления вредоноса владельцы страницы Janus Cybercrime Solutions (@JanusSecretary) на некоторое время забросили ее, однако после катастрофических атак NotPetya решили вернуться.

Судя по недавно опубликованному твиту, разработчики оригинальной версии Petya не имеют никакого отношения к резонансным атакам NotPetya. С 7 декабря 2016 года на странице @JanusSecretary не было ни одной новой записи, однако 28 июня появилось сообщение: «Мы вернулись и изучаем NotPetya, может быть, его можно взломать с помощью нашего ключа».

По мнению независимых исследователей, авторы Petya говорят правду, и NotPetya – действительно не их рук дело. Разница в работе вредоносов свидетельствует о том, что создатели оригинальной версии вряд ли могли чем-то помочь авторам NotPetya.

Исследователь Hasherezade опубликовала сравнительную таблицу образцов кодов Petya и NotPetya. Несмотря на некоторые общие черты, эксперты все больше склоняются к мнению, что NotPetya является инструментом для саботажа, а не вымогательской программой.

Эксперты «Лаборатории Касперского» считают вредонос «вайпером» для уничтожения данных на жестком диске, и с их мнением согласен Рик Фергюсон (Rik Ferguson) из Trend Micro. «Petya (имеется в виду NotPetya – ред.) удаляет собственный ключ шифрования MFT, делая расшифровку невозможной даже для самого автора», – отметил Фергюсон.

«Авторы обычного вымогательского ПО, должно быть, ужасно обеспокоены ущербом, причиненным NotPetya их репутации “заплати – и получишь свои файлы обратно”», – пошутил исследователь Мартийн Гроотен (Martijn Grooten).