PetrWrap

PetrWrap Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель генерирует 16-байтный ключ и с помощью поточного шифра Salsa20 шифрует MFT разделов на локальных дисках. Оригинальное название  неизвестно. Название PetrWrap дали исследователи из ЛК. Среда разработки: MS Visual Studio. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Petya > Petya+Misha > GoldenEye > ☠ > PetrWrap

Этот крипто-вымогатель обнаружен в начале марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Для создания работоспособной версии крипто-вымогателя преступная группа, стоящая за PetrWrap, создала специальный модуль, который изменяет зловреда Petya "на лету". Такая особенность делает это вредоносное ПО уникальным.

Экран пострадавшего ПК

После запуска PetrWrap "дремлет" 5400 секунд (1,5 часа), затем расшифровывает основную DLL-библиотеку Petya и готовится вызвать её экспортируемую функцию ZuWQdweafdsg345312. Она обычно подготавливает Petya к дальнейшим операциям и запускает процесс перезаписи MBR. Но PetrWrap перехватывает пару функций Petya и заменяет инструкции для вызова функции DllEntryPoint на инструкции NOP (шестнадцатеричные байты 0x90). Это не позволяет собственно Petya работать самому и даёт возможность PetrWrap выполнить все необходимые вычисления и приготовления, прежде чем разрешить Petya продолжить работу.

Использование собственных криптографических алгоритмом и изменённого кода Petya позволяет преступникам, стоящим за PetrWrap, скрыть факт использования Petya в процессе компрометации системы. 

Разработчикам PetrWrap учли ошибки ранних версий Petya Ransomware и использовали новую 3-ю версию Petya, которая не имеет недостатков тех версий и правильно реализует работу Salsa20, и им не пришлось возиться низкоуровневым кодом загрузчика.

В результате атаки PetrWrap: 
1) ПК жертвы заблокирован и MFT надёжно зашифрована;
2) экране нет мигающего черепа и нет упоминаний о Petya.

PetrWrap используется в целевых атаках на организации. После проникновения в корпоративную сеть используется утилиту PsExec для установки вымогателя на все рабочие станции и серверы предприятия. 

Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Файлы, связанные с этим Ransomware:
out.exe
out2.exe

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up in Russian
 Write-up in English
 ID Ransomware (n/a)
 * 

 Thanks: 
 Антон Иванов, Федор Синицын
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.