推特用戶聲稱為原始Petya勒索軟件背后的網絡犯罪團伙發聲，宣稱想幫助“修復”上周的NotPetya攻擊所導致的破壞。

該推特賬戶名為Janus網絡犯罪解決方案(@JanusSecretary)，曾在最初的Petya爆發后沉寂了一段時間，但6月29號再次激活——烏克蘭的混亂和本周類似代碼肆虐加密無數被感染系統還不算完。

推特更新說：“我們又回來了。正在查看“notpetya”?；蛟S用我們的私鑰#petya可破。@hasherezade 遺憾地錯過了 :)”

獨立安全專家說，最新版和原始版本之間運行機制上的差異，意味著原始惡意軟件作者(們)的協助，即便是真的，也不太可能幫上多大忙。

安全研究員Hasherezade提供了代碼樣本對比：

內核對比：#EternalPetya vs #Goldeneye #Petya

(對比材料：https://t.co/9GyB556ITn)

[pic.twitter.com/0DcnkCNuMb](https://t.co/0DcnkCNuMb)

——hasherezade (@hasherezade) 2017年6月29日

上周放出的 Petya / NotPetya / Mischa / Goldeneye 惡意軟件與原始Petya有類似的地方，但安全專家正逐漸統一意見：這更像是專門破壞的工具，而不是常規的勒索軟件(或者像卡巴斯基實驗室說的，是偽裝成勒索軟件的硬盤清除軟件)。

卡巴斯基稱，即便支付了贖金，攻擊者也解密不了受害者的硬盤。這不僅是因為留給受害者與攻擊者交流用的電子郵件地址被禁用了，還與NotPetya的加密機制有關。

我們分析了該加密過程的高級代碼，發現磁盤被加密后，攻擊者無法予以解密。要解密受害者的磁盤，攻擊者需要安裝ID。在Petya/Mischa/GoldenEye等“類似”勒索軟件之前的版本中，該安裝ID包含有密鑰恢復的必要信息。ExPetr沒有包含這個，也就是說，攻擊者無法抽取解密所需必要信息。簡言之，受害者無法恢復數據。

其他專家指出，NotPetya在銷毀該密鑰前，會加密被感染計算機的主文件表 (MFT)。

趨勢科技安全研究副總裁里克·費古森稱：“Petya實際上刪除了其本身的MFT加密密鑰，讓解密根本不可能——即便是該勒索軟件作者本人出馬也不行。”

NotPetya就是為了快速傳播和造成最大破壞而設計的。解藥尚未開發出來，但原始Petya作者的幫忙其實也沒什么用。

業內期刊 Virus Bulletin 編輯馬基恩·格魯騰在推特更新中開玩笑道：“常規勒索軟件作者肯定非常沮喪，因為NotPetya傷害了他們‘付款就能拿回文件’的信譽。”