четверг, 24 марта 2016 г.

Petya

Petya Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует жёсткий диск компьютера, портит таблицу размещения файлов NTFS, известную как MFT. Работа с диском выполняется на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны. 

👉 Примечательно, что этот первый Petya не мог обходить UAC, потому запрашивал административные привилегии на установку, чтобы потом тайно изменить MBR. Если привилегий он не получал, то ничего плохого на компьютере не делал.

© Генеалогия: Petya > Petya+Mischa (Petya-2) > GoldenEye (Petya-3) > ☠ Petna ...
Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки, где на красном фоне белыми буквами написаны основные требования вымогателей. 

Содержание записки о выкупе:
You became victim of the PETYA RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Enter your personal decryption code there:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
If you already purchased your key, please enter it below.
Key: _

Перевод записки на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, показанной на шаге 2-м.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых шага:
1. Загрузите Tor-браузер со страницы xxxxs://www.torproject.org/. Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Введите свой личный код дешифрования:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
Если вы уже приобрели свой ключ, введите его ниже.
Ключ: _



Технические детали

Вредоносное ПО Petya, вероятно, разработано специально для атак на организации и предприятия. Распространяется с помощью фишинговых электронных писем (email-спама), адресованных отделам кадров, специалистам по кадрам, тем кто обязан просматривать резюме кандидатов на вакантную должность (т.н. соискателей)См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда якобы можно загрузить "портфолио". Но вместо портфолио по ссылке находится вредоносный файл – Bewerbungsmappe-gepackt.exe (что-то вроде "application_portfolio-packed", если перевести название на английский).

После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки компьютера.

После перезагрузки компьютера жертва увидит имитацию стандартной для Windows проверки диска (CHKDSK). На этом экране утверждается, что запускается проверка диска, но на самом деле это тот момент, когда файлы на ПК становятся недоступными для пользователя. 
По окончании "проверки" на экране компьютера загружается не операционная система, а экран блокировки Petya. Сначала появляется мигающий экран, где на красном фоне "красуется" стилизованное изображение черепа с костями. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).
На следующем экране пострадавшему сообщается, что все данные на его жёстких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через 7 дней цена на ключ дешифрования удвоится (см. ниже скриншот, демонстрирующий отсчет оставшегося времени).

Список файловых расширений, подвергающихся шифрованию:
Не определён. Но это в первую очередь могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Или же все файлы без разбора. 

Файлы, связанные с этим Ransomware:
Bewerbungsmappe-gepackt.exe
<random>.exe
petya_dlab.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на petya_dlab.dll >> 
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя, но перспективно высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Write-up, Write-up
 Video review 
 Thanks: 
 G DATA 
 Lawrence Abrams
 Malwarebytes Labs
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton