Petya is een stukje ransomware dat al een tijdje meedraait. Het dook in februari vorig jaar op en viel direct op door een vrij unieke encryptiemethode. De meeste gijzelsoftware richt zich op het versleutelen van individuele bestanden (vaak op populaire formaten als .jpg en .docx), maar Petya pakte de Master Boot Record (MBR) aan door de Master File Table (MFT) te versleutelen.

Petya-achtige malware

De malware die afgelopen week opdook werd door enkele specialisten al snel NotPetya gedoopt. Het had namelijk enkele overeenkomsten, zoals een Petya-achtig splashscreen met losgeldeis en het versleutelen van de MFT.

Anders waren stevigere verspreidingsmethodes en een algeheel gebrek aan een backend die ontsleuteling mogelijk maakt. Zo maakt de malware geen installatie-ID aan, zoals Petya wel doet, wat nodig is om een sleutel te kunnen koppelen aan een besmette machine. Kaspersky noemde de malware daarom vrij snel NotPetya.

Bewijs stapelt zich op dat NotPetya vooral een wiper, malware die bedoeld is om schade aan te richten door data te vernietigen, is en geen ransomware. Zo ontbreekt ook een fatsoenlijk betalingssysteem, een primaire eis voor gijzelsoftware. Net als WannaCrypt genereert de malware één Bitcoin-adres, in plaats van unieke adressen, zodat je niet kunt zien welke pc ontsleuteld moet worden als een betaling binnenkomt.

Ontregelen pc's

WannaCrypt had dan tenminste nog een berichtenfunctie, zodat slachtoffers betalingsbewijs konden overhandigen. NotPetya heeft een e-mailadres, maar de provider daarvan heeft die uit de lucht getrokken vanwege de malafide activiteiten. Het gevolg is dat betalende klanten ook geen betalingsbewijs meer kunnen overhandigen.

Bij WannaCrypt vroeg McAfee zich al af of geld verdienen wel het oogmerk was en ook van NotPetya zegt het bedrijf dat áls het doel al financieel gewin is, het effect vooral disruptie is. Kaspersky zegt nu klip en klaar hetzelfde: NotPetya is een wiper, bedoeld om schade te veroorzaken.