Dopo i segnali di collaborazione manifestati da Janus, l’autore del ransomware Petya, nel caso dell’attacco globale avvenuto di recente con il malware NotPetya (conosciuto anche come Diskcoder_C), è stata resa pubblica la master key per il ransomware Petya.
Cerchiamo però di fare chiarezza: il primo Petya è un ransomware che criptava l’MFT e sostituiva il boot loader con una maligno, invece il malware NotPetya è un wiper malware, ovvero cancella e rende inaccessibile i dati dell’utente rendendo di fatto impossibile il recupero ed è una evoluzione che non ha NULLA a che fare con il primo Petya che è di un altro creatore (ndr Janus).
Ecco che la master key pubblicata ha validità per il primo Petya, nello specifico per le seguenti versioni:
- prima versione del ransom (dove si vedeva un teschio bianco su sfondo rosso)
- seconda versione dal ransom chiamato Misha, dove si vede un teschio verde con sfondo nero
- terza versione del ransom chiamato Goldeneye dove si vede un teschio giallo con sfondo nero
Nello specifico la prima e la seconda versione erano già stati “bucati” ovvero era già stato trovato un modo per recuperare i file (ne avevamo parlato qui: CryptoHost e Petya Ransomware: strumenti per il ripristino ) ma non era stato trovato alcun metodo per la terza versione, cosa resa possibile ora dalla pubblicazione della master key.
A breve verranno aggiornati i vari decrypter per avere strumenti di ausilio nel recupero dei nostri dati.