Сектор
Експерти компанії G DATA повідомляють про виявлення незвичайної здирницької малварі. Вимагач Petya - це старий добрий локер, на зміну яким останнім часом прийшли шифрувальники. Але Petya блокує не тільки робочий стіл чи вікно браузера, він взагалі перешкоджає завантаженню операційної системи. В повідомленні з вимогою викупу при цьому йдеться, що малварі використовує "військовий алгоритм шифрування" і шифрує весь жорсткий диск відразу, пише xakep.ru.
В недавньому минулому локери (вони ж блокувальники) були дуже поширеним типом малварі. Деякі з них блокували робочий стіл, інші - лише вікно браузера, але всі вони вимагали від жертви викуп за відновлення доступу. На зміну локерам прийшли шифрувальники, які не просто блокують дані, але і шифрують їх, що значно підвищує ймовірність оплати викупу.
Однак фахівці компанії G DATA виявили свіжий зразок шафки, що називає себе Petya. У повідомленні з вимогою викупу малварі заявляє, що поєднує в собі функції блокувальника і шифровальщика водночас.
Фішінговий лист HR спеціалісту
Petya переважно атакує фахівців з кадрів. Для цього зловмисники розсилають фішингові листи вузькоспрямованого характеру. Послання нібито є резюме від кандидатів на яку-небудь посаду. До листів додається посилання на повне портфоліо здобувача, яке розміщено на Dropbox. Зрозуміло, замість портофліо за посиланням розташовується малварі - файл application_portfolio-packed.exe (у перекладі з німецької).
Фальшиве портфоліо
Запуск цього .exe файлу призводить до падіння системи в "синій екран смерті" і подальшого перезавантаження. Експерти G DATA вважають, що перед ребутом шкідник втручається в роботу MBR, з метою перехоплення керування процесом завантаження.
Фейковий CHKDSK
Після перезавантаження комп'ютера жертва бачить імітацію перевірки диска (CHKDSK), по закінченні якої на екрані комп'ютера завантажується зовсім не операційна система, а екран блокування Petya. Вимагач повідомляє потерпілому, що всі дані на його жорстких дисках були зашифровані за допомогою "військового алгоритму шифрування, і відновити їх неможливо".
Для відновлення доступу до системи і розшифровки даних жертві потрібно заплатити викуп, перейшовши на сайт зловмисника в зоні .onion. Якщо оплату не буде здійснено протягом 7 днів, сума викупу подвоюється. "Купити" у атакуючого пропонується спеціальний "код розшифровки", який потрібно вводити прямо на екрані локера.
Фахівці G DATA пишуть, що поки не розібралися в механізмі роботи Petya до кінця, але підозрюють, що шкідник просто бреше про шифрування даних. Найімовірніше, малварі просто блокує доступ до файлів і не дає операційній системі завантажитися. Експерти наполегливо не рекомендують платити зловмисникам викуп і обіцяють у недалекому майбутньому опублікувати оновлену інформацію про загрозу.
Подивитися на "Петю" у дії можна на відео нижче.
