Petya+

Petya+ Ransomware
Petya Imitator Ransomware

(фейк-шифровальщик, имитатор)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует посетить страницу в сети Tor, чтобы вернуть файлы. Оригинальное название: Petya+. На файле написано: Petya+.exe. Фальш-копирайт: Hewlett-Packard 2017. Написано в .NET. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: имитация Petya Ransomware

К фейк-зашифрованным файлам никакое расширение не добавляется. 
Файлы не шифруются. 

Образец этого крипто-вымогателя был обнаружен в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Имитирует проверку диска, как у оригинального Petya. 

Демонстрирует изображение черепа со смещёнными знаками в ASCII.

Следующий экран выступает информатором жертвы. 

Содержание текста с экрана:
You became a victim of the PETYA RANSOMWARE!
---
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy
steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE
3. Enter your personal decryption code there:
4827h91vo8724vz81972v4t12987v4z21h74vz210v49821

Перевод на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
---
Жесткие диски вашего компьютера были зашифрованы с алгоритмом  шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Даркнета, показанной на шаге 2.
Чтобы купить свой ключ и восстановить свои данные, пожалуйста, следуйте этим простым шагам:
1. Загрузите Tor-браузер на странице "https://www.torproject.org/". Если вам нужна помощь, пожалуйста, ищите в Google "access onion page".
2. Посетите одну из следующих страниц в Tor-браузере:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE
3. Введите свой личный код дешифрования:
4827h91vo8724vz81972v4t12987v4z21h74vz210v49821

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы в этой версии не шифруются.

Файлы, связанные с этим Ransomware:
Petya+.exe (Petya.exe)
<images>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.