NotPetya続報（作者が動きを見せる／当局がM.E.Doc機材を押収）

「NotPetya作成グループ、全ビットコインを移動し、ダークウェブ上で取引を提案」

NotPetyaの「身代金」振込先ビットコイン口座で、数回の移動があり、口座の全コイン（1万ドル強に相当）は他に移動しました。ロンダリングサービスに流す可能性が推測されています。

また、ダークウェブ上のPasteBinとDeepPostの2箇所でメッセージを発表しました。

「100BTCでマスタープライベートキーを売ってやる」

これを裏付けるように、Motherboardからの、NotPetyaに暗号化されたファイルを復元しました。

「NotPetyaランサムウェアに関わるハッカー、我々のファイルを復元」

このことから、NotPetyaは（以前にカスペルスキーの研究者が指摘したように）でたらめなIDを示していても、内部的には復号が可能な設計になっていることが推測されます。ただし、身代金を（初期に）支払ったとして復号可能になる可能性は少ないと思いますが。

なお、誰かが100BTCを支払うかは大いに疑問と元記事では述べています。

「M.E.Docはサーバを2013年以来更新せず、3回バックドアを設置されていた」

見出しの通りですが、ウクライナ当局がM.E.Docのサーバを押収しました。実はNotPetya等に続く攻撃も予定されていたらしいのですが、この押収などもあって今回は防がれた、とウクライナ当局では発表しています。

また、CiscoやESETの調査により、M.E.Docサーバへのバックドア設置は4/14, 5,15, 6.22の3回に分割して行われたことも明らかになりました。1回目やテスト、2回目がXDataランサムウェアの配布、3回目がNotPetyaというわけです。

さらに、バックドア設置の際にM.E.Docの会計ソフトそれぞれのユニークなIDを収集する仕掛けも設置されたそうです。これにより利用企業の状況もつぶさに分かるというわけです。まさに1粒で何回もおいしいやり方です。

M.E.Docの会計ソフトは非常に重要な位置を占めているらしく、現在、ウクライナの多数の企業が古いバージョンのM.E.DocのソフトをGoogleドライブなどで共有して使っているそうです（サーバがないと動かないタイプ？）。これもまた結構危険な状況ですね…。

「オリジナルPetyaランサムウェアの作者、マスター復号キーを公開」

これはPetyaシリーズ（MischaやGoldenEyeを含む）の全てに有効です。MalwarebytesやKasperskyで真正性が確認されました。

これらが活動していた時期は古く、そのときに暗号化されたデータを今もそのまま残しているケースは少ないため、あまり有効ではないだろうとみられています。

なお、言うまでもないことですが、このキーはNotPetyaによる暗号化には無力です。