Зашифрованные вирусом-вымогателем данные нельзя восстановить

Поразивший компьютеры компаний на Украине и в России вирус не предполагает восстановление зашифрованных данных. Об этом сообщили эксперты «Лаборатории Касперского» и Comae.

После уплаты выкупа жертва должна была отправить хакерам уникальный номер биткоин-кошелька плательщика и ID компьютера, который выводил на экран шифровальщик. По идее ID необходим для создания ключа дешифрования. Но вирус показывал жертвам случайный набор символов, пришли к выводу эксперты «Лаборатории Касперского». Значит, никакой полезной информации для дешифрования файлов из него не извлечь.

Ранее эксперты из «Лаборатории Касперского» выяснили, что шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. По их данным, речь идет о новом семействе вредоносного программного обеспечения с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

Эксперты установили, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance. Эксплойт — это программа, использующая уязвимость в операционных система. EternalBlue использовали еще для распространения вируса WannaCry.

Источником атаки ExPetr стала украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота. Ее продукты популярны в Украине. M.E.Doc опровергает, что явилась источником заражения, и сообщает, что также пострадала от кибератаки.

Вирус начал активно распространяться по компьютерным сетям в России и на Украине во вторник, 27 июня. Атаке подверглись «Запорожьеоблэнерго», «Укртелеком», а также была парализована работа Чернобыльской АЭС. Вирус проникал в корпоративные сети через фишинговые письма, блокировал данные и требовал выкуп в 300 долларах в биткоинах.