Хакеры, называющие себя авторами вируса Petya, сделали первое заявление: вымогают $256 000
Хакер или группа хакеров, стоящая за вирусом Petya, впервые с момента атаки начали действовать. Первыми их деятельность заметили в Motherboard. Неизвестные опустошили биткоин-кошелек, где к этому времени набралось $10 000 (изначально вирус вымогал за расшифровку файлов по $300, но те, кто заплатили, ключей не получили). Сумма была переведена на другой кошелек. Спустя некоторое время эта же группа перевела мелкие суммы на кошельки сайтов Pastebin и DeepPaste — эти сайты часто используются хакерами для объявлений, поскольку тот же DeepPaste, к примеру, доступен только через Tor.
Затем неизвестный, выступающий от имени создалетей вируса, запостил обращение ко всем пострадавшим, в котором вымогает за расшифровку файлов (но не загрузочных дисков) по 100 биткоинов. На момент написания по курсу 100 биткоинов стоили примерно $256 000. Издание отмечает, что в сообщении не указан кошелек, но есть ссылка на чат в даркнете, где пользователи могут с хакером (или хакерами) связаться.
Издание связалось в чатруме с одним из якобы авторов Petya, и цитирует его слова, по которым сумма такая высокая, поскольку ключ подойдет для «расшифровки всех компьютеров». Затем журналисту Motherboard предложили расшифровать один файл в качестве теста. Издание передало хакерам один из зашифрованных файлов, но на момент написания новости ответа не получило.
Французский эксперт по инфобезопасности, глава Comae Technologies Мэтт Суиш считает, что хакеры просто «троллят журналистов». По его мнению, они просто хотят запутать общественность, убедив всех, что Petya — все же вирус-шифровальщик, а не вирус-вайпер (чья цель — уничтожить информацию). Сам эксперт уверен в обратном.
Напомним, украинская Киберполиция не верит в то, что целью самой масштабной хакерской атаки на украинские государственные и частные компании было вымогательство. Проанализировав инциденты, они обнаружили, что Petya был лишь прикрытием, на самом же деле злоумышленники собирали коды ЕГРПОУ компаний-жертв.
Комментарии | 6
зачем собирать коды ЕГРПОУ, если они есть в открытом доступе. Проще было хакнуть реестр Минюста, где все хранится
Можливо вірус просто ідентифікує підприємство на якому інфіковані машини, і в залежності від підприємства існують сценарії розповсюдження або виведення з ладу певних об'єктів. Правда не зрозуміло навіщо шифрувати файли.
Тот код который привели как доказательство бэкдора мог быть просто написан недавними студентами для обновления самого медка. ЕГРПОУ использовался просто как уникальный для предприятия идентификатор. Просто анализ кода проводил иностранец и он даже представить не мог что программа используемая повсеместно может содержать такой код и исходникики не подвергались независимой экспертизе-сертификации.
Кто первый писал про то что вирус имеет поле для сбора EГРПОУ — имели ввиду что вирус был создан где цель была Украина
Паролі та статистику вони збирали, а не коди ЄДРПОУ
Пишуть що все таки зашифровали, значить в них є ключ https://motherboard.vice.com/en_us/article/evdxj4/notpetya-ransomware-hackers-decrypt-file