Kaspersky Labは6月28日(米国時間)、「ExPetr/Petya/NotPetya is a Wiper, Not Ransomware - Securelist」において、ロシアや欧州をはじめ世界中で感染および被害が広がっているマルウェア「Petya」が、当初考えられていたランサムウェアではなくワイパーであった可能性があると発表した。ワイパーとは、破壊行為を目的としたマルウェア。

Petyaに類似したランサムウェアの場合、脅迫メッセージの画面にインストールIDが表示され、このIDにはキーの復旧に不可欠な情報が含まれている。この情報を被害者から受け取ることによって、攻撃者はプライベートキーを使用して復号キーを抽出できるようになる

しかし、Petyaの暗号化処理を解析したところ、脅迫メッセージ画面に表示されたIDは単なるランダムなデータでしかないことがわかったという。つまり、被害者に対して示されたランダムな文字列では、攻撃者は復号情報を抽出できないため、インストールIDを使って暗号化されたディスクを復号することは不可能となる。これにより、Kaspersky Labは、Petyaが金銭取得を目的とした行動ではなく破壊を目的とした攻撃だった可能性を示唆している。

類似のランサムウェアに感染すると、脅迫メッセージ画面にインストールIDが表示されるが、Petyaの脅迫メッセージ画面に表示されているIDは単なるランダムなデータでしかないという 資料:Kaspersky Lab

通常、ランサムウェアはPCに保存されているファイルやディスクを暗号化することで人質とし、復号する見返りとして身代金を要求する。セキュリティファームやセキュリティ関連機関は攻撃者に利益を与えることになることから、身代金の要求に応じないよう求めているが、多くの場合で支払われていることが明らかになっている。そうしたことから、ランサムウェアは確実に収益が見込める方法として、攻撃者に好まれているようだ。

しかし、現在世界中で被害を広げているマルウェア「Petya」は、当初考えられていたようなランサムウェアではなく、ランサムウェアを装ったワイパーである可能性が指摘されている。Petyaは特定の国や地域、機関などを攻撃することを目的に開発されたマルウェアである可能性が高いが、今のところ断定はできないとのこと。