Хакер или группа хакеров, стоящая за вирусом Petya, впервые с момента атаки начали действовать. Первыми их деятельность заметили в Motherboard. Неизвестные опустошили биткоин-кошелек, где к этому времени набралось $10 000 (изначально вирус вымогал за расшифровку файлов по $300, но те, кто заплатили, ключей не получили). Сумма была переведена на другой кошелек. Спустя некоторое время эта же группа перевела мелкие суммы на кошельки сайтов Pastebin и DeepPaste – эти сайты часто используются хакерами для объявлений, поскольку тот же DeepPaste, к примеру, доступен только через Tor.
Затем неизвестный, выступающий от имени создалетей вируса, запостил обращение ко всем пострадавшим, в котором вымогает за расшифровку файлов (но не загрузочных дисков) по 100 биткоинов. На момент написания по курсу 100 биткоинов стоили примерно $256 000. Издание отмечает, что в сообщении не указан кошелек, но есть ссылка на чат в даркнете, где пользователи могут с хакером (или хакерами) связаться.
Издание связалось в чатруме с одним из якобы авторов Petya, и цитирует его слова, по которым сумма такая высокая, поскольку ключ подойдет для “расшифровки всех компьютеров”. Затем журналисту Motherboard предложили расшифровать один файл в качестве теста. Издание передало хакерам один из зашифрованных файлов, но на момент написания новости ответа не получило.
Французский эксперт по инфобезопасности, глава Comae Technologies Мэтт Суиш считает, что хакеры просто “троллят журналистов”. По его мнению, они просто хотят запутать общественность, убедив всех, что Petya – все же вирус-шифровальщик, а не вирус-вайпер (чья цель – уничтожить информацию). Сам эксперт уверен в обратном.
Напомним, украинская Киберполиция не верит в то, что целью самой масштабной хакерской атаки на украинские государственные и частные компании было вымогательство. Проанализировав инциденты, они обнаружили, что Petya был лишь прикрытием, на самом же деле злоумышленники собирали коды ЕГРПОУ компаний-жертв.