Після червневої епідемії шифрувальника NotPetya, автори оригінального вимагача, від яких давно нічого не було чутно, знову проявили активність. Розробники малварі оголосили, що ними вивчається код NotPetya і будуть намагатися застосувати для зашифрованих файлів ключі від оригінального Petya. Тоді ІБ-фахівці зробили припущення, що авторам оригінального шифрувальника нічого не вдасться, оскільки NotPetya пошкоджує структуру диска навмисне, при цьому шифруючи MFT і видаляючи ключ. Після цього розшифрувати отриманий результат, найбільш імовірно, не зможе вже ніхто.

Судячи з усього, експерти мали рацію, тому що на початку липня 2017 року розробники Petya просто «вмили руки», опублікувавши у відкритому доступі захищений паролем архів з майстер-ключем для всіх версій Petya: оригінального шифрувальника 2016 року; другою версією Petya, об’єднаної зі здирником Mischa; і третьої версії, що відома під назвою GoldenEye.

Справжність опублікованого ключа швидко підтвердили ІБ-фахівці, а поява інструменту для порятунку даних стала лише питанням часу.

Тепер компанія Malwarebytes Labs, спільно з незалежним спеціалістом, відомою під псевдонімом Hasherezade, представила безкоштовний декріптор. Детальну інструкцію з використання інструменту можна знайти в блозі компанії, а вихідні дані Hasherezade вже опублікувала на GitHub. Як і передбачалося, утиліта працює проти оригінальної версії шифрувальника, відомої як Red Petya або просто Petya, обох версій Green Petya, об’єднаного з Mischa, а також Goldeneye.

Експерти попереджають, що перед початком розшифровки інформації варто зробити додатковий бекап даних, так як в ході роботи інструменту можуть виникати «зависання», і деякі файли можуть виявитися пошкодженими.

На жаль, дешифровщик ніяк не допоможе користувачам, які постраждали від недавньої епідемії вимагача NotPetya, так як використана в ході атак малваре занадто сильно відрізнялася від свого попередника, а також ушкоджувала дані на жорстких дисках жертв навмисно і практично безповоротно.