然目前有黑客已經(jīng)成功解密了我們（Motherboard）提供的文件，但這并不意味著受害者們可以贖回他們的文件。

事件概覽
上周，NotPetya勒索病毒散布全球，據(jù)稱起初是由于烏克蘭的一款叫MEDoc會計軟件的升級，這次攻擊導(dǎo)致了美國，英國以及歐洲其他國家的港口關(guān)閉，超市無法收銀，商務(wù)工作被迫通過紙和筆來完成。
在上周安全研究人員也花了大量時間討論受害者是否可以贖回他們的文件，一些研究人員指出，和其他為了牟利的勒索軟件不同，NotPetya的目的是通過加密文件并且不給受害者任何解密的方法而造成混亂，換句話講，他們視NotPetya為一個擦除工具，而不是勒索軟件。卡巴斯基實驗室的研究人員 Matt Suiche也寫道，即使受害者付了錢，黑客也不能幫他們解密文件，在某些情況下，這款勒索軟件還會對磁盤造成永久性損壞。
不過也有一些研究人員指出恢復(fù)也不是完全沒有可能，  F-Secure先前說在某些條件下文件是可能被恢復(fù)的：
1.主引導(dǎo)記錄（MBR）或主文件表（MFT）沒有被替換或破壞；
2.加密和解密期間沒有文件被添加，移動，刪除；
3.加密只進行了一次。 
“他們有密鑰，所以應(yīng)該是同一群人”
就在前幾天，有黑客出現(xiàn)了并向Motherboard證明了他們有能力解密一些文件。
為了證明他們的能力，這些黑客免費提供了一個解密文件的機會，所以我們聯(lián)系了ESET公司安全研究人員Anton Cherepanov來發(fā)給我們被NotPetya加密的文件，Cherepanov稱他在虛擬機里運行了惡意軟件并且發(fā)給我們兩個文件：一個是包含微軟的軟件信息的普通的word文檔，另一個則是被加密的同一個文件，如下圖所示，被加密的版本用word處理程序打開時顯示亂碼。

我們把這個被加密的文件發(fā)送給了黑客，兩個小時后，這些黑客就發(fā)給了我們解密后的文件，經(jīng)過對比后確實是原來的文件。這說明這些黑客確實有能力解密被NotPetya加密的文件。


Cherepanov和另一位知名的惡意軟件研究人員都研究過NotPetya勒索軟件，他們表示這些聊天室里的黑客有接觸過NotPetya的代碼。這周二，這些黑客們還在Pastebin和DeepPaste中放上了NotPetya的加密私鑰。
另外，Cherepanov和Suiche表示勒索軟件里有一些bug以至于黑客不能解密超過1MB的文件（我們發(fā)送的文件都是200KB左右的），期間我們有發(fā)送給黑客其他的文件，但是黑客沒有應(yīng)答，很多記者也表示在推特上黑客根本沒有回答他們的問題。 
真相撲朔迷離
Motherboard之前是在暗網(wǎng)上通過這些黑客搭建的聊天室聯(lián)系到了他們，這些黑客同時也在Pastebin和 DeepPaste上宣布了他們的企圖。 
在本周三重新上線后，這些黑客聲稱只要支付100比特幣（大約175萬人民幣），他們就會公開可以解密所有文件的密鑰，由于此次事件發(fā)生后黑客的郵箱立刻被封（受害者需要通過郵件發(fā)送給黑客包含有特殊指紋的readme.md文件），所以他們沒有公開指明如何給他們匯這筆錢，但是通過Motherboard告訴受害者可以向一個新的獨立比特幣錢包付錢。
成功解密測試文件讓NotPetya事件更加撲朔迷離，如果這些與勒索軟件有關(guān)聯(lián)的黑客當初不想退還文件，為什么要重新上線呢？另外值得注意的是，NotPetya似乎會損壞受害者的電腦磁盤，就算黑客提供了解密的密鑰，一些受害者可能也不會找回他們的文件了。