Немецкая фирма обнаружила новый тип вымогателя03.04.2016 20:48

Немецкая фирма heise Security обнаружила новый тип crypto-вымогателя, причем главная плохая новость заключается в том, что в таком случае пользователь теряет доступ не к отдельным файлам, а к разделу диска (тому) как таковому. Вредоносная программа Petya выбрала в качестве мишени не отдельные файлы, а таблицу размещения файлов NTFS, известную как MFT. В таком случае для операций шифрования используется работа с диском на низком посекторном уровне, таким образом полностью теряется доступ ко всем файлам на томе.

19b09bded4cc4679b3f3ea0a1985ca9a.jpeg

Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

ab65c95943e44f42b0848bc04f806adc.png
Рис. Значок дроппера Petya с нарисованным щитом UAC. (данные Malwarebytes)

После запуска дроппера в системе, Windows падает в BSOD, а после перезагрузки вымогатель отображает пользователю фальшивое окно стандартного инструмента Windows для работы с диском под названием chkdsk. В это время, Petya шифрует данные раздела.

5ddda44e119642f0b17948736a7c87ce.png
Рис. Фальшивое окно chkdsk после перезагрузки системы. (данные Malwarebytes)

После выполнения своих вредоносных функций, пользователь увидит следующий экран.

5f7891fd82744221a6ffb28b67fdeb69.png
Рис. Вымогатель отображает экран пользователю. (данные Malwarebytes)

4c19a4b7219542619a202cd9661304db.png
Рис. Экран с требованием выкупа, который появляется после предыдущего. (данные Malwarebytes)

8cf65110af484c2a859575706afdd52e.png
Рис. Внешний вид веб-сайта, на котором можно оплатить выкуп (принадлежит анонимной сети TOR). (данные Malwarebytes)

Для реализации своих функций без участия Windows на самом раннем этапе загрузки, вымогатель использует свой bootstrap-код, который записывается вместо стандартного, а также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.


Демонстрация работы Petya.

Для защиты от вымогателя мы рекомендуем использовать антивирусное ПО, а также не переходить по ссылкам, полученным из недоверенных источников. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

© Habrahabr.ru