Según el portal de noticias de seguridad TheHackerNews, el autor del ransom original Petya ha vuelto a la palestra pública y luego de un largo silencio de casi seis meses a través de su cuenta de Twitter ofreciendo ayudar a todas las víctimas de las más reciente variante de este virus que ha recibido el nombre de notPetya y que ha causado graves problemas en Europa del este, esto fue lo que manifestó públicamente:
Estamos de vuelta y hemos dado un vistazo a “notpetya” tal vez es crackable con nuestra privkey #petya @hasherezade lamentablemente perdida;)
La afirmación hecha por el autor de Petya sugiere que él pudo haber tenido en algún momento una llave principal de desciframiento, que podría funcionar para la nueva variante de Petya, de ser cierto las víctimas podrían descifrar sus archivos bloqueados, que es en estos momentos el mayor clamor en Internet.
El creador de Petya lo vendia como un Ransomware como Servicio (RaaS) a otros hackers en marzo del 2016 y como cualquier ransomware regular, el Petya original fue diseñado para bloquear la computadora de la víctima y luego devolver los archivos cuando se pagara el rescate.
Esto significa que cualquier persona podría lanzar el ataque del ransomware Petya con apenas el tecleo de un botón, encriptar el sistema de cualquier persona y exigir un rescate para desbloquearlo. Si la víctima paga, Janus (el autor del Petya original) recibe un porcentaje del pago. Pero desde diciembre del año pasado no se supo nada más de él.
Sin embargo, el último martes, los sistemas informáticos de la infraestructura crítica y las más importantes corporaciones de Ucrania y otros 64 países más fueron golpeados por un ataque cibernético global, similar al brote de WannaCry que paralizó decenas de miles de sistemas en todo el planeta.
Inicialmente, una nueva variante del ransomware Petya, llamado NotPetya, fue culpado por infectar sistemas en todo el mundo, pero más tarde, la historia de NotPetya tomó un giro interesante.
Ayer, los investigadores encontraron que NotPetya no es un ransomware, sino que es un malware orientado al sabotaje, ya que este borra completamente los sistemas atacados, destruyendo todos los datos en los mismos.
NotPetya también utiliza la filtración de Windows de NSA llamada EternalBlue y EternalRomance para expandirse rápidamente dentro de la red y las herramientas WMIC y PSEXEC para ejecutar remotamente el malware en las máquinas que son objetivo del malware.
Los expertos incluso creen que el verdadero ataque ha sido disfrazado como un brote de malware para desviar la atención del mundo de un ataque patrocinado un estado.
El código fuente de Petya nunca se ha filtrado, pero algunos investigadores todavía están tratando de hacer ingeniería inversa para encontrar posibles soluciones.
Ya que Janus está examinando el código de NotPetya e incluso si su clave maestra logra descifrar la tabla de archivos maestros de las víctimas, no será de mucha ayuda hasta que los investigadores encuentren una forma de reparar el MBR, que es borrado por NotPetya sin guardar ninguna copia.
Se cree que el brote de malware del martes pasado es mucho mayor que el de WannaCry, causando desastres en muchas infraestructuras críticas, incluyendo el bloqueo de computadoras en una compañía eléctrica ucraniana, varios bancos en Ucrania y el aeropuerto internacional Kyiv Boryspil de su capital Kiev.
El malware NotPetya también canceló las cirugías en dos hospitales de la zona de Pittsburgh (Estados Unidos), las computadoras golpeadas en la compañía farmacéutica Merck y el bufete de abogados DLA Piper, así como las computadoras infectadas en la compañía naviera holandesa AP Moller-Maersk obligaron a cerrar algunas terminales de contenedores en puertos marítimos de Los Ángeles a Mumbai.