Вимагач Petya. Що за комп'ютерний вірус атакує Україну

Вірус Petya, який сьогодні атакував багато українських, в тому числі і державні, структури, добре відомий росіянам. Пропонуємо вашій увазі статтю одного російського видання про цей вірус

Експерти компанії G DATA повідомляють про виявлення незвичайної здирницьку малварі. Вимагач Petya - це старий добрий локер, на зміну яким останнім часом прийшли шифрувальники. Але Petya блокує не тільки робочий стіл або вікно браузера, він взагалі запобігає завантаження операційної системи. Повідомлення з вимогою викупу при цьому говорить, що малварь використовує "військовий алгоритм шифрування" і шифрує весь жорсткий диск відразу, пише xakep.ru.

У недавньому минулому локери (вони ж блокувальники) були дуже поширеним типом малварі. Деякі з них блокували робочий стіл, інші тільки вікно браузера, але всі вони вимагали від жертви викуп за відновлення доступу. На зміну локерам прийшли шифрувальники, які не просто блокують дані, але і шифрують їх, що значно підвищує ймовірність оплати викупу.

Тим не менше фахівці компанії G DATA виявили свіжий зразок шафки, який називає себе Petya. У повідомленні з вимогою викупу малварь заявляє, що поєднує в собі функції блокувальника і шифровальщика разом.

Фішінговий лист HR спеціаліст

Petya переважно атакує фахівців з кадрів. Для цього зловмисники розсилають фішингові листи вузькоспрямованого характеру. Послання нібито є резюме від кандидатів на яку-небудь посаду. До листів додається посилання на повне портфоліо здобувача, який розміщується на Dropbox. Зрозуміло, замість портфоліо за посиланням розташовується малварь - файл application_portfolio-packed.exe (у перекладі з німецької).

Фальшиве портфоліо

Запуск цього .exe файлу призводить до падіння системи в "синій екран смерті" і подальшої перезавантаження. Експерти G DATA вважають, що перед ребутом шкідливий втручається в роботу MBR з метою перехоплення керування процесом завантаження.

Фейковий CHKDSK

Після перезавантаження комп'ютера жертва бачить імітацію перевірки диска (CHKDSK), по закінченні якої на екрані комп'ютера завантажується зовсім не операційна система, а екран блокування Petya. Вимагач повідомляє потерпілому, що всі дані на його жорстких дисках були зашифровані за допомогою "військового алгоритму шифрування" і відновити їх неможливо.

Для відновлення доступу до системи і розшифровки даних жертві потрібно заплатити викуп, перейшовши на сайт зловмисника в зоні .onion. Якщо оплата не була здійснена протягом семи днів, сума викупу подвоюється. "Купити" у атакуючого пропонується спеціальний "код розшифровки", який потрібно вводити прямо на екрані локера.

Фахівці G DATA пишуть, що поки не розібралися в механізмі роботи Petya до кінця, але підозрюють, що шкідливий просто бреше про шифрування даних. Найімовірніше, малварь просто блокує доступ до файлів і не дає операційній системі завантажитися. Експерти настійно не рекомендують платити зловмисникам викуп і обіцяють у недалекому майбутньому опублікувати оновлену інформацію про загрозу.

Подивитися на "Петю" у дії можна на відео нижче.