Ransomware Petya/NotPetya usuwa dane? Nie, to coś innego!

Petna/NotPetya wciąż jest źródłem zagadek dla ekspertów IT

Tak jak po ataku WannaCry, świat musi także znaleźć sposób na podniesienie się po ataku Petya/ExPetr/NotPetya. Mimo, że atak był przeprowadzony na mniejszą skalę niż ten wcześniej wspomniany, był też o wiele bardziej dotkliwy. Eksperci przygotowali dekrypter WannaCry. NotPetya nie daje im jednak aż tyle możliwości.

Nowe fakty wychodzą na jaw

27 czerwca, świat został zaatakowanyn przez wirusa wyglądającego na kolejną wersję wirusa Petya. Dalsza analiza wykazała, że:

• Malware, nazwany NotPetya/Petya.A/Petrwrap, okazał się wariacją wirusa Petya z całkowicie nadpisanym kodem źródłowym.
• Wirus ładuje się zamiast systemu
• Atakuje te same luki w systemie
• Domaga się 300 dolarów okupu
• Nie przydziela ID do zaatakowanego komputera

Podczas, gdy kod źródłowy może być całkowicie inny, wirus zachowuje się w podobny sposób, co oryginalna Petya. Miesza on w ustawieniach uruchamiania pozwalając na uruchomienie wirusa zamiast systemu.

Co gorsza, najświeższe raporty wykazują, że po jakimś czasie wirus usuwa pliki ofiary. Część z takich podejrzeń została jednak szybko odrzucona. By to sprecyzować, malware okazał się nnie ransomware, a cyber atakiem. Ani oryginalna Petya, ani jej najnowsza odmiana, nie komunikuje się z serwerem C&C

To jest powodem, dla którego wirus nie przydziela sprzętowi ofiary żadnego identyfikatora. W skrócie, bez takowej informacji, ofiary nie mogą otrzymać klucza deszyfrującego do swoich plików. Jednakże, ofiary NotPetyi nie powinny myśleć o zapłacie okupu, ponieważ jeden z głównych serwerów ze skrzynką cyberprzestępców został wyłączony.

Źródło infekcji na Ukrainie

Atak włynął na wiele firm i korporacji na świecie. Najwięcej spustoszenia wywołał jednak na Ukrainie. Ostatnio kraj ten stał się częstym celem cyber-przestępców.

Raporty ujawniają szokujące wyniki. Źródło NotPetya/Petna/Petya.A znajduje się w ukraińskiej firmie zajmującej się programami do księgowania, M.E. Doc. Specjaliści twierdzą, że cyber-złoczyńcy dostali się oraz przejęli sieć spółki.

Z tego powodu wszystkie firmy korzystające z oprogramowania tej spółki i które zainstalowały łatkę opublikowaną przez producenta zostały natychmiastowo zaifekowane.
Nowo odkryte cechy sugerują, że ten malware to tylko czubek większej kampanii cyber-politycznej wymierzonej właśnie w Ukrainę. Warto zauważyć, że chwilę po pojawieniu się WannaCry, atak XData w tym kraju dokonał dużo większych strat.

Ze względu na wagę sytuacji mamy nadzieję, że dalsza analiza pomoże odkryć jeszcze więcej intrygujących faktów i rzyczyni się do kompletnego rozprawienia się z infekcją.