Criadores do Petya original estão tentando ajudar vítimas do novo ataque

Por Redação | 30.06.2017 às 15:51

O malware Petya, que se alastrou pela Europa nessa semana e chegou ao Brasil, afetando as máquinas do Hospital do Câncer de Barretos, tem dado o que falar não somente pela destruição que está causando, mas também por conta de algumas controvérsias. É que, na verdade, o Petya original é um ransomware criado pela Janus Cybercrime Solutions, e teria sido modificado por criminosos virtuais criando o apelidado de “NotPetya”, que afetou as máquinas da Ucrânia e se espalhou posteriormente.

Para não ser responsabilizada como a autora dos ataques atuais, a Janus chegou a oferecer no Twitter ajuda a vítimas que tenham tido seus arquivos destruídos com o novo ataque. Apesar de não ser capaz de recuperar esses arquivos, o gesto mostra que a Janus não estaria mesmo por trás dessa epidemia. Até porque o Petya originalmente é um ransomware autêntico, enquanto o “NotPetya”, modificado, não é capaz de descriptografar os arquivos sequestrados.

Ainda assim, a Janus alega que talvez seja possível desbloquear arquivos roubados pelo “NotPetya” utilizando uma chave privada desenvolvida pela companhia. Contudo, até o momento a empresa não deu mais detalhes sobre como isso seria possível.

Como surgiu o Petya da Janus

No início de 2016, a Janus lançou um site na darknet um Ransomware como um Serviço (RaaS), oferecendo a criminosos virtuais o acesso a plataformas sofisticadas de distribuição de ransomwares. Esses criminosos pagavam uma taxa de registro e poderiam usar a plataforma, sendo também obrigados a enviar parte do valor dos resgates para a Janus, que se apresentava como uma “organização cibercriminosa profissional”.

E o Petya chegou a ser o responsável por metade do dinheiro que a Janus lucrava com essa atividade. A diferença entre esse e outros ransomwares é que os demais costumam deixar os sistemas operacionais intactos enquanto criptografam arquivos individuais, enquanto o Petya criptografa porções inteiras do disco rígido da vítima, substituindo o Registro Mestre de Inicialização e bloqueando o sistema operacional do usuário. Então, o usuário somente consegue acessar novamente seu computador ao pagar o valor do resgate, seguindo as instruções dos criminosos.

Petya versus NotPetya

Diferente da motivação da Janus com o Petya original, que era ganhar dinheiro sequestrando arquivos de usuários desprotegidos, o “NotPetya” é um malware do tipo wiper, de acordo com uma análise da Kaspersky Lab. Quer dizer: quem foi afetado pelo novo Petya, não receberá seus arquivos de volta nem se pagarem o resgate.

Algumas pessoas atribuíram o “NotPetya” à empresa ucraniana MeDoc, que, rapidamente, refutou a acusação em seu Facebook. Portanto, ainda não se sabe exatamente quem modificou o código do Petya da Janus para criar a nova epidemia. Mas, segundo vários especialistas, o ataque começou depois que a MeDoc foi atacada e os criminosos levaram o “NotPetya” para seus consumidores por meio de uma atualização em um de seus softwares.

Com informações de Gizmodo