NotPetya Decryption Key Sale – authentique ou Curveball Charade?

La confusion au sujet de la source et du motif de l'épidémie de NotPetya ransomware a donné un remue-méninges supplémentaire avec l'offre de vente d'une clé privée de décryptage. Les messages sont apparus mardi sur Pastebin et DeepPaste: "Envoyez-moi 100 Bitcoins et vous obtiendrez ma clé privée pour décrypter tout disque dur (sauf les disques de démarrage)".

Les messages semblent être authentiques et les preuves clés ont été testées. "Cela signifie que quiconque a posté ce message a [the] clé privée pour décrypter les données chiffrées par le malware NotPetya", a déclaré à Forbes, Anton Cherepanov, chercheur principal en logiciels malveillants ESET.

Catalin Cimpanu chez BleepingComputer suggère une vérification différente. Juste avant le début des messages, il souligne que deux petits paiements (d'environ 285 $ et 300 $) ont été effectués à partir des portefeuilles Bitcoin du ransomware aux portefeuilles associés aux services de partage de texte Pastebin et DeepPaste. Sur l'hypothèse raisonnable que les paiements et les postes sont associés, il est encore une preuve que l'offre provient du groupe NotPetya. "

L'annonce faite hier soir est vérifiée par les deux paiements de Bitcoin effectués par le groupe dans les deux services où ils ont accueilli leurs déclarations ", a déclaré Cimpanu.

Peu de temps après les messages, tous les fonds restants (environ 10 000 $) ont été transférés du portefeuille de ransomware dans ce qui semble être le début du groupe qui s'efforce de cacher leurs traces.

À la surface, cela semble être un processus logique. Une routine de cryptage défectueuse utilisée par les logiciels malveillants a permis la récupération des fichiers par les victimes …