O salvamento está acontecendo.
Durante o fim de semana de feriado dos Estados Unidos do 4 de Julho, a carteira Bitcoin dos responsáveis por NotPetya apresentou um comportamento surpreendente: cerca de 10 mil dólares em resgate foram pagos e desapareceram da conta. Paralelamente, uma mensagem que supostamente foi enviada pelos criadores do talvez-ransomware exigiu 100 bitcoins para que eles entregassem a chave que pode desbloquear os arquivos criptografados.
Neste momento, 100 bitcoins equivalem a cerca de 260.000 dólares.
Envie-me 100 Bitcoins e você receberá minha chave de desencriptação para desbloquear qualquer disco rígido (excluindo discos de arranque). Por favor, veja o arquivo anexado assinado com a chave para verificação.
Como NotPetya surgiu pela primeira vez na Ucrânia em 27 de junho, mostrando a capacidade de danificar o registro de inicialização mestre de um computador infectado, a pessoa por trás da mensagem alega que é capaz de descriptografar arquivos específicos, em vez de sistemas inteiros. Apesar disso, tal habilidade poderia ser de grande utilidade para empresas que buscam recuperar dados perdidos, desde que a reivindicação de resgate seja verdadeira.
Um pedido de novo foi enviado em 4 de julho, o mesmo dia em que pagamentos de resgate foram transferidos do endereço Bitcoin indicado na primeira mensagem do ataque NotPetya para uma carteira diferente, na esperança de obter as chaves de decodificação.
Nenhum novo endereço Bitcoin foi explicitado para pagamentos, caso alguém deseje efetivamente empenhar os 100 bitcoins. Porém, foi fornecida uma ligação para uma sala de bate-papo com o objetivo de se comunicar com os invasores e, presumivelmente, lhes oferecer pagamento.
Motherboard entrou em contato com uma pessoa que afirmou ser um dos hackers, e esta afirmou que a chave para venda “desbloquearia todos os computadores”.
Será que as organizações que sofreram com o NotPetya deverão pagar? Isso é uma questão complicada. Os especialistas em segurança chegaram a um acordo de que o objetivo do NotPetya era danificar a infraestrutura virtual, e não lucrar com ele. Assim sendo, a decisão das vítimas é distinta do que costuma ocorrer com o ransomware tradicional.
De qualquer jeito, essa última série de mudanças – a movimentação de dinheiro entre bolsas Bitcoin e o novo interesse – só aumenta a confusão por trás do ataque NotPetya. Ela também deixa algo bem claro: A história do último ataque de ransomware que assolou o mundo ainda não acabou.
Moeda criptográfica.