Експерти прийшли до висновку, що Petya - це не шифрувальник, а вайпер

Експерти прийшли до висновку, що Petya - це не шифрувальник, а вайпер

27 червня 2017 року, через трохи більше місяця після атак WannaCry, світ зіткнувся з новою здирницькою епідемією, причиною який стала нова версія шифрувальника Petya, відомого фахівцям ще з 2016 року.

Можна помітити, що ІБ-фахівці та ЗМІ часто називають малваре НЕ Petya, а NotPetya, SortaPetya, Petna, Nyetya, ExPetr і так далі. Справа в тому, що вивчивши загрозу більш детально, фахівці прийшли до висновку, що в новому шифрувальником залишилося не так вже й багато від оригінального Petya. Новий шкідливий безумовно був побудований на основі вихідних кодів того самого «Петі», однак нова версія малварі настільки відрізняється від оригіналу, що багато хто визнав логічним присвоїти їй нову назву.

З нашим докладним оглядом Petya і що склалася навколо нього ситуації можна ознайомитися тут. Нагадаю, що раніше повідомлялося, що малваре шифрує не тільки файли користувача, але і MFT (Master File Table), перезаписує MBR (Master Boot Record) і має кастомний завантажувач, який відображає здирницькі послання, замість завантаження операційної системи.

Оператори малварі вимагають від своїх жертв викуп в розмірі 300 доларів в біткоіни еквіваленті. Так, після оплати слід відправити лист на адресу wowsmith123456@posteo.net, щоб отримати інструкції по розшифровці даних. Однак вже ввечері 27 червня платити викуп стало просто марно, так як адресу, за якою потрібно зв'язуватися з операторами малварі, був заблокований адміністрацією Posteo.

Варто сказати, що з самого початку атак деякі дослідники припускали, що Petya далеко не так простий, як здається. Зокрема багатьом здавалося дивним, що оператори шифрувальника передбачили всього один біткоіни-кошиками для перерахування викупів, та ще й жорстко прописали його в код шкідливий. Не менш дивним виглядало і створення єдиного поштової адреси на Posteo, тому як його оперативну блокування можна без праці передбачити. Словом, нова версія Petya, яка взяла на озброєння експлоїти АНБ ETERNALBLUE і ETERNALROMANCE, мало схожа на класичну «машину для генерації грошей», якою зазвичай і є вимагачі.

«Не дивлячись на значну кількість однакового коду, оригінальний Petya був кримінальним підприємством для заробітку грошей. Ця [нова версія] виразно створена не з метою заробити грошей. Вона створена, щоб швидко поширюватися і завдавати шкоди, і діє під правдоподібним прикриттям, як вимагач », - пише відомий ІБ-фахівець The Grugq.

Тепер теорії експертів починають підтверджуватися. Фахівці «Лабораторії Касперського» і дослідник Comae Technologies Метью Сюіш (Matt Suiche) прийшли до висновку, що Petya взагалі некоректно називати шифрувальником. Справа в тому, що шкідливий, по суті, створений для знищення інформації, - відновити постраждалі дані мало реально, і це не помилка, а задум авторів малварі. Тому Petya скоріше варто називати Вайпер (wiper).

Дослідники «Лабораторії Касперського» пояснюють, що кожної зараженої машині Petya привласнює власний ID, проте даний ID не передається на керуючий сервер (Petya взагалі не має таких) і не містить в собі ніякої цінної інформації, яка пізніше допомогла б зловмисникам «впізнати» жертву і надати їй ключ для розшифровки файлів.


 

Як нова версія Petya генерує ID, показано на ілюстраціях нижче. Малваре використовує для цього функцію CryptGenRandom, тобто генерує випадкову послідовність нічого не значущих символів. Такий ID не несе в собі зовсім ніякої інформації, створюється лише про людське око і точно не допоможе розшифрувати файли. Таким чином, платити викуп марно не тільки через те, що Posteo заблокував поштову скриньку злочинців.
 

У своєму звіті Метью Сюіш порівнює Petya з іншим відомим Вайпер, Shamoon. Дослідник повідомляє, що зашифровані Petya диски практично неможливо відновити. Порівнявши Petya зразка 2016 року зі новою версією, експерт не міг не помітити суттєву різницю: нова версія навмисно знищує перші 25 секторів на диску. Перший сектор диска шифрується за допомогою XORс 0x07, після чого зберігається в іншому секторі і замінюється кастомними загрузчиком. Але все 24 наступні за ним сектора перезаписувати навмисно і ніде не зберігаються.
 


 

Petya 2017 зліва і Petya 2016 справа
Оригінальний Petya теж справляв схожі операції, проте він дійсно міг звернути всі зроблені зміни, тоді як новий Petya пошкоджує дані навмисне і набагато серйозніше.