De originele maker van de Petya ransomware, die onder de alias “Janus” gaat, heeft de privésluitel vrijgegeven van de beruchte Petya malware. This key will help the recovery or decryption of computers infected with Petya. It will not help however, with the decryption of files infected with the more recent variant called “NotPetya”.
Janus heeft de sleutel gedeeld met een security researcher bij Malwarebytes genaamdd “Hasherezade”. Ze schreef op haar Github pagina dat ze een decryptietool gaat schrijven van zodra ze daar tijd voor heeft.
“Het ziet er naar uit dat dit Janus’ privésleutel is voor alle vorige Petyas. Deze sleutel kan niet helpen in het geval van EternalPetya, aangezien, in dit specifiek geval, de Salsa sleutels niet geëncrypteerd zijn met Janus’ publieke sleutel, maar, in plaats daarvan, gewist worden en voor eeuwig verloren zijn.” – Hasherezade
Ook al werkt deze sleutel op heel wat machines die geïnfecteerd zijn met Petya, zijn we niet zeker hoeveel mensen hier effectief baat bij zullen hebben. Zeker na de ravage die zijn grote broertje EternalPetya, een synoniem voor NotPetya, heeft aangericht over de hele wereld. Het goede nieuws is dat Janus heeft aangekondigd dat hij wil meewerken aan het decrypteren en bestrijden van de NotPetya software.
De makers van de NotPetya malware hebben recentelijk een bericht verspreid dat ze de privésleutel zouden vrijgeven voor een prijs van 100 Bitcoin, wat ongeveer een 230.000 euro is. Omdat we er vaak niet van uit mogen gaan dat deze cybercriminelen ook effectief de waarheid spreken heeft Motherboard een versleuteld bestand opgestuurd met de vraag op het de decrypteren. Ze hebben het versleuteld bestand met succes terug gekregen van de makers. Dit betekent niet dat de gedupeerden hun bestanden terug kunnen krijgen. Er zijn heel wat andere zaken die we moeten in acht nemen.
Momenteel kunnen we enkel hopen op de privésleutel of een decryptietool voor NotPetya. Gelukkig staat de originele Petya-maker Janus aan onze kant!