Перейти к содержанию
Авторизация  
Сталкер

Вымогатель «ПЕТЯ» блокирует загрузку ОС и требует выкуп за расшифровку данных

Рекомендуемые сообщения

csm_petya_98d3b027ca

Эксперты компании G DATA сообщают об обнаружении необычной вымогательской малвари. Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что малварь использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.

В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом малвари. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.

Тем не менее, специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа малварь заявляет, что сочетает в себе функции блокировщика и шифровальщика разом.

csm_Petya-Email-Bewerbung_2_e02e2cbe4e

Фишинговое письмо HR специалисту

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого).

csm_12443128_966761246740226_314967621_n_5c8be0cf7b

Фальшивое портфолио

Запуск этого .exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты G DATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки.

Petya-Processing

Фейковый CHKDSK

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

Petya-RansomNote

Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

csm_Petya-RansomSite_8ebf23a247

Специалисты G DATA пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, малварь просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.

https://xakep.ru/2016/03/25/petya-locker/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо! Будем готовы защититься от Пети!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Продолжение истории... Катя против Пети...

Троян Katya похищает средства у разработчиков вымогательского ПО Petya и превращает шифровальщик в антивирус

image

В команде разработчиков вредоносного ПО Petya произошел раскол.  

Спустя всего неделю после обнаружения нового вымогательского ПО Petya, шифрующего жесткий диск компьютера с требованием выкупа, в команде его разработчиков произошла ссора. В результате раскола конкурирующая сторона создала весьма необычный, не имеющий аналогов троян Katya.

По данным источников SecurityLab, авторами вредоноса является семейная пара, внезапно решившая разорвать узы брака. Право на распространение Petya, а значит, и всю приносимую им прибыль, осталась за одним из бывших супругов. Как бы то ни было, второй стороне удалось получить доступ к исходному коду Petya и на его основе разработать троян Katya.

Обнаруженное экспертами компании Natasha Technologies ПО представляет собой модульный троян, состоящий из двух элементов. Katya способен инфицировать системы, уже зараженные Petya. Один из его модулей может подменять отображаемое Petya уведомление с требованием выкупа таким образом, что вместо биктоин-кошелька операторов Petya уплаченные жертвой деньги направляются на биткоин-кошелек Katya.

Второй модуль действует еще интереснее. Эксплуатируя уязвимость в Petya (можно не сомневаться, разработчику Katya было хорошо о ней известно), троян вносит изменения в его код, наделяя Petya функциями антивируса. Модифицированный с помощью Katya троян Petya способен детектировать другое вредоносное ПО и защищать от него систему ничего не подозревающей жертвы.

Источник: http://www.securitylab.ru/news/480520.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
Авторизация  

×
×
  • Создать...