De Petya-ransomware die wereldwijd systemen van organisaties infecteerde is geen echte ransomware, maar een "wiper" die als doel heeft om gegevens te wissen. Dat melden het Russische anti-virusbedrijf Kaspersky Lab en Comae Technologies, een securitybedrijf uit de Verenigde Arabische Emiraten.
Petya versleutelt zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Slachtoffers krijgen een melding te zien dat ze een installatie-ID naar een opgegeven e-mailadres moeten mailen om de decryptiesleutel te ontvangen. Dit zogenaamde installatie-ID is echter een reeks willekeurige karakters en heeft geen enkele relatie met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.
Verder blijkt Petya 24 sector blocks van de harde schijf opzettelijk te overschrijven, zonder die ergens anders op te slaan. Een opmerkelijk detail, aangezien de originele versie van Petya die vorig jaar verscheen de harde schijf op zo'n manier aanpaste dat aangepaste sector blocks wel konden worden hersteld. "We kunnen zien dat de huidige versie van Petya duidelijk is herschreven om een wiper te zijn en geen ransomware", aldus Matt Suiche van Comae Technologies. In 2012 werd de Shamoon-wiper nog gebruikt om 30.000 computers van de Saoedische oliegigant Saudi Aramco te beschadigen.
Volgens Suiche moest het ransomware-gedeelte als dekmantel fungeren. Eerder kwam een beveiligingsonderzoekers met het alias The Grugq al met de conclusie dat het werkelijke doel van Petya het veroorzaken van schade was, aangezien het betaalmodel slecht in elkaar zat. Zo werd het e-mailadres dat de aanvallers gebruikten om met slachtoffers te communiceren al vrij snel geblokkeerd. Slachtoffers die het gevraagde losgeld van 300 dollar betalen kunnen hun bestanden dan ook niet terugkrijgen, tenzij ze over back-ups beschikken. Inmiddels heeft het bitcoin-adres dat de aanvallers gebruiken 45 transacties ontvangen met een waarde van ruim 8900 euro.
De onderzoeker met het alias MalwareTech die de killswitch voor de WannaCry-ransomware activeerde stelt dat de conclusie dat de nieuwe Petya-versie de MBR vernietigt niet klopt. Hij krijgt bijval van een onderzoekster met het alias Hasherezade, die in het verleden veel onderzoek deed naar Petya. Zij stelt dat er niet veel veranderd is tussen de GoldenEye-variant van Petya en de nu actieve versie.
Deze posting is gelocked. Reageren is niet meer mogelijk.