Wouter Hoeffnagel - 29 juni 2017

‘Weinig hoop voor slachtoffers van Petya/ExPetr ransomware’

Beveiligingsbedrijf Kaspersky Lab heeft weinig hoop dat slachtoffers van de Petya/ExPetr ransomware in staat zullen zijn gegijzelde data te ontsleutelen. Door de werkwijze die de ransomware hanteert, zijn de aanvallers achter de ransomware niet in staat opslagschijven van slachtoffers te ontsleutelen.

Dit stelt Kaspersky Lab in een verklaring. De Engelstalige verklaring luidt als volgt:

“Our analysis indicates there is little hope for victims to recover their data. We have analyzed the high level code of the encryption routine and we have figured out that after disk encryption, the threat actor could not decrypt victims’ disks.  To decrypt a victim's disk threat actors need the installation ID. In previous versions of “similar” ransomware like Petya/Mischa/GoldenEye this installation ID contained the information necessary for key recovery.  ExPetr does not have that, which means that the threat actor could not extract the necessary information needed for decryption. In short, victims could not recover their data. Further technical details on this will be provided in our updated blog.”