"Ранним вечером в среду, когда глобальная атака вируса Petya приостановилась, но ее негативные последствия еще не были устранены, изначальный разработчик этого вредоносного ПО, получившего скандальную известность, вышел в Twitter - впервые за шесть месяцев", - сообщает журналист The Daily Beast Кевин Поулсен. "Мы вернулись и рассматриваем NotPetya. Возможно, его удастся взломать нашим личным ключом", - написал этот человек.
Издание поясняет: "Янус (это имя он позаимствовал у злодея из бондианы) в марте 2016 года начал продавать вирус Petya другим хакерам. Как и все вирусы-вымогатели, Petya призван "захватывать в плен" файлы жертвы, а затем, после выплаты выкупа, возвращать их". С декабря Янус не подавал о себе вестей.
"Во вторник модифицированная версия вируса Petya спровоцировала сильные сбои на Украине", - напоминает Поулсен. По данным Microsoft, вирус распространился еще в 64 странах.
"Янус, который никогда не скрывал, что является автором Petya, кажется очевидным подозреваемым. Как утверждает эксперт по безопасности, изучившая его работу, известно, что Янус - единственный, у кого есть исходный код", - пишет издание. "Исходник так никуда и не просочился, - сказала эксперт, известная под рабочим псевдонимом Hasherezade. - Его могли продать, но я так не считаю".
По мнению автора статьи, запись Януса в Twitter в среду - косвенное заявление, что этого конкретного преступления он не совершал. Несколько экспертов по компьютерной безопасности пришли к сходному выводу. "Несмотря на поверхностное сходство, кибератака, нанесенная на этой неделе, почти наверняка не была делом рук хакера типа Януса, стремящегося извлечь прибыль. Нет, это был электронный "коктейль Молотова", заброшенный на Украину неким нападавшим, который недооценил, насколько далеко он распространится", - говорится в статье.
"Это кто-то, кто хочет отключить Украину и создать видимость того, что поработал вирус-вымогатель, - говорит Маттье Суше, основатель провайдера кибербезопасности Comae Technologies. - Мотив политический - так же, как в декабре с электросетью ".
Корреспондент пишет: "С тех пор как три года назад Украина вступила в военные действия с Россией, она столкнулась с целой бурей кибератак, и следы многих из них безошибочно ведут в Москву. На данный момент следы атаки, устроенной во вторник, удалось выявить только до украинской компании M.E.Doc, которая производит бухгалтерское ПО MEDoc, широко используемое на Украине".
Вредоносное ПО "перепрыгивало" из одной корпоративной сети в другую и в итоге распространилось по всему миру и даже ударило по компьютерам в России, пишет автор. По его мнению, почти очевидно, что требования выкупа были прикрытием для деструктивных мотивов атакующих.
"Эксперты подметили, что это вредоносное ПО основано на Petya, но сильно модифицировано", - пишет автор. "Лаборатория Касперского" даже нарекла новую версию именем NotPetya.
При этом механизм, с помощью которого жертвы могли заплатить выкуп и получить файлы обратно, был очень слабым: указывался один-единственный электронный адрес. Провайдер, как и следовало ожидать, после атаки его заблокировал, пишет корреспондент.
В среду специалисты "Лаборатории Касперского" сообщили: Petya и NotPetya выдают жертвам уникальный код для восстановления файлов после выплаты выкупа. Но в NotPetya этот код - цепочка случайных чисел. "Тот, кто стоял за атакой, не имеет возможности разблокировать чьи-либо файлы, и они не разблокируются", - заключает Поулсен.