Во вторник владельцы биткоин-кошелька, на который авторы вируса просили присылать по $300 в биткоинах для расшифровки файлов, впервые вывели с него средств – в целом более $10 тысяч, которые накопились в кошельке с момента распространения вируса 27 июня.
Также с кошелька были проведены две небольшие транзакции в пользу сайтов Pastebin и DeepPaste, которые позволяют публиковать текстовые сообщения и иногда используются хакерами для различных объявлений.
Через 11-12 минут после транзакций на даркнет-сайте DeepPaste, доступном через Tor, появилось сообщение с пометкой «#NotPetya #Petya.A», в котором за 100 биткоинов предлагался некий ключ для дешифровки компьютеров. Авторы сообщения также разместили ссылки на файлы, подписанные якобы индивидуальным ключом вируса.
Адреса биткоин-кошелька в сообщении не оказалось. Один из участников даркнет-чата, ссылку на который авторы сообщения оставили в посте, в разговоре с журналистом Motherboard подтвердил, что является одним из авторов NotPetya. По его словам, высокая цена объясняется тем, что ключ подойдет для дешифровки сразу всех компьютеров.
Позже журналисты при помощи неназванного эксперта в сфере кибербезопасности отправили авторам чата зашифрованный вирусом текстовой файл с просьбой расшифровать его – то есть доказать, что у них действительно есть ключ для дешифровки. Расшифрованный файл, однако, журналисты так и не получили, а позже чат оказался закрыт.
Обновлено. Motherboard сообщило, что хакеры прислали расшифрованный файл через два часа после запроса, то есть доказали, что могут дешифровать зараженные вирусом NotPetya файлы. Эксперт ESET Антон Черепанов, который предоставил журналистам зашифрованный вирусом файл, отметил, что из-за ошибок в коде вируса ключ вряд ли позволит расшифровать файлы крупнее, чем 1 Мб.
Напомним, ранее эксперты «Лаборатории Касперского» и некоторых других компаний заявили, что NotPetya шифрует файлы безвозвратно, то есть без реальной возможности полного восстановления. Некоторым специалистам, включая Дмитрия Литреева (автор Telegram-канала «Сайберсекьюрити и Ко»), это позволило предположить, что целью создателей вируса было не вымогательство, а атака на инфраструктуру Украины – страны, где началось распространение вируса и которая пострадала от него больше всего. Подтвердить это, однако, на данный момент не удалось.