Malwarebytesは7月24日(米国時間)、「Bye, bye Petya! Decryptor for old versions released. - Malwarebytes Labs|Malwarebytes Labs」において、ランサムウェア「Petya」によって暗号化されたディスクを復号するツールを公開した。LiveCDまたはWindows実行ファイルの形式で公開されている。Petyaによって暗号化されたディスクを保持している場合、この復号ツールを使って復元できる可能性がある。Petyaの被害にあったユーザーにとっては朗報と言える。
復元可能なデータには、Petyaの亜種である次のランサムウェアによって暗号化されたものも含まれるとされている。
- Red Petya
- Green Petya (両バージョン)とMischa
- Goldeneye (bootlockerとファイル)
ただし、Malwarebytesは復号の最中にデータが壊れることも確認したと述べており、復号作業を行う前には暗号化されたディスクのバックアップを取っておくことが望まれる。
通常、ランサムウェアによって暗号化されたデータが復号できることはない。しかし今回のケースでは、Petyaの開発者とされる人物が開発から手を引く目的でマスター鍵を公開したとされており、Malwarebytesはこのマスター鍵を使って復号ツールを開発したとしている。
なお、このツールでは5月から6月にかけて特に世界中で感染を広めたNotPetya(ExPetrまたはNew Petyaとも呼ばれている)によって暗号化されたディスクは復元できないという。NotPetyaはランサムウェアではなく破壊を目的としたワイパーであり、復号はできないと考えられている。