/ фото Adam Foster CCТакую оценку дают независимые эксперты и специалисты по ИБ, представляющие научное сообщество (например, Калифорнийский университет в Беркли).
Дело в том, что организация «сбора средств» оставляла желать лучшего. Каждой «жертве» шифровальщика был предоставлен одинаковый Bitcoin-адрес. Такой подход очень редко используют те, кто действительно хочет что-то получить — современные «шифровальщики-вымогатели» генерируют новый адрес для каждой «жертвы».
В качестве канала для коммуникации был предложен обыкновенный email-ящик, размещенный в Германии у местного провайдера Posteo. Как только атака набрала обороты, ящик закрыли. Таким образом, даже те, кто перевел денежные средства, не смогли получить «дешифратор».
С другой стороны, эксперты подчеркивают многовекторный характер атаки и общую сложность «шифровальщика». С технологической точки зрения NotPetya выполнен на очень высоком уровне и использует EternalBlue и EternalRomance, эксплуатирующих уязвимость в Windows-реализации протокола SMB (многие компании проигнорировали соответствующий патч).
Пока мы готовили эту заметку, появились и другие экспертные мнения, которые подтвердили предположения коллег. Petya-2017 производит необратимое воздействие, что в корне отличается от поведения Petya-2016, который позволял сделать «откат» к изначальному состоянию.
Эксперты говорят о том, что «маскировка» под «шифровальщика-вымогателя» могла быть применена для того, чтобы получить наиболее широкий охват в медиа по аналогии с WannaCry.
Материалы по теме на Хабре:
- Как победить вирус Petya
- Технические подробности новой глобальной атаки
- Новая вирусная угроза для компаний России и Украины
- Украина подверглась самой крупной в истории кибератаке вирусом Petya
Дополнительное чтение — наши материалы:
Комментарии (15)
DrPass
29.06.2017 00:40del
Похоже, какой-то бажок в движке комментариев. Два раза было сегодня — отвечаю на самый последний комментарий в теме, ответ сохраняется как отдельный комментарий.
Nick_Shl
29.06.2017 10:08Каждой «жертве» шифровальщика был предоставлен одинаковый Bitcoin-адрес. Такой подход очень редко используют те, кто действительно хочет что-то получить — современные «шифровальщики-вымогатели» генерируют новый адрес для каждой «жертвы».
В чем смысл разных адресов?
Даже зная один адрес на который был переведен выкуп можно легко отследить, куда транзакция пойдет дальше. Поэтому один адрес, на первый взгляд, не дает преимуществ перед многими.alexeykuzmin0
29.06.2017 10:59Разные адреса нужны для идентификации платежа — чтобы центральный сервис смог гарантированно проверить, что именно этот инстанс вымогателя уже оплачен и ему стоит отдать команду на дешифровку.
Nick_Shl
30.06.2017 05:57Кошелек отправителя не подходит? Как вариант сначала писать письмо, потом осуществлять транзакцию. Отправитель денег тот, кто написал раньше, чем транзакция была создана, ему и отправляем ключ.
E3AP
29.06.2017 20:34Тут наверно нужно было написать не «индивидуальный кошелек» а «индивидуальный контактный e-mail» — чтоб не побанили (что уже произошло) и была возможность контакта с «жертвой».
DrPass
30.06.2017 00:37Обычно как раз индивидуальный кошелек. Злоумышленник видит, что раз деньги на него поступили, значит выкуп заплачен, и он знает, кем (если он Робин Гуд, и вообще реализовал такую возможность). А контактировать по электронке с жертвой ему наоборот, нежелательно. Это лишняя лазейка, которая хоть немного, но угрожает анонимности злоумышленника.
Taciturn
30.06.2017 09:24Злоумышленник знает что ему заплатили и даже готов всё расшифровать. Но как? У него же нет контактов жертвы, как ему передать ключ для расшифровки?
DrPass
30.06.2017 12:15Если у злоумышленника вообще есть такое желание, то ему же не нужно передавать ключ лично на ящик пользователя. Все приличные современные вирусы умеют самостоятельно ходить во всякие там интернеты. Автор вируса просто выкладывает где-нибудь ключ, где тот сам его заберёт.
Actee
Как по мне, «стоимость» нанесения подобного ущерба несовместима с возможными сборами за дешифровку. Хотя WannaCry (тем более Petya-2017) и не показал какие-то сборы, ущерб для организаций был существенный. Относительно подхода к освещению ситуации в медиа — здесь имидж «вымогателя» может быть даже полезнее для обывателей, которые в ином случае просто не обратили бы на подобную новость свое внимание.
DrPass
А сколько он может стоить? Его же не с нуля делали, технология атаки известная, код тоже доступен. Вчера автор собрал эквивалент 13 тысяч долларов на тот биткойн-кошелек. Полагаю, сегодня урожая ещё добавилось. Так что даже разработку оно так или иначе окупит (если это не чей-то государственный проект с, как водится, завышенной на порядок себестоимостью).
Actee
В ссылке из поста пишут, что уже не доступен адрес для подтверждения отправки средств («Moreover, the payment email address isn’t accessible anymore if victims would happen to send payments»). Смысла платить уже нет.
DrPass
Да даже если ему заплатит один процент от тех пострадавших, кто новости про недоступный адрес почты не прочитал, это не одна сотня тысяч долларов будет.
matabili1973
Наиболее совершенные зловреды разрабатываются прицельно, и нанесение ущерба изначально тоже является адресным. А уже потом это выплывает на просторы большого интернета.