Мемуары о будущем

Дмитрий Беляев

Обнаружен троян «Петя», целиком шифрующий жесткий диск в персональном компьютере

Опубликовано: 26 марта 2016 года






Аналитики обнаружили вирус, который шифрует весь диск в персональном компьютере, а не только некоторые из пользовательских файлов. Затем он требует деньги за ключ, с помощью которого пользователь сможет получить доступ к данным обратно.

Вирус нового типа

Аналитики G Data опубликовали информацию о вирусе нового типа — относящийся к вирусам-вымогателям, он впервые полностью шифрует содержимое накопителя, а не лишь отдельные файлы.

Новый вирус называется Petya («Петя»). Атака злоумышленников, которые используют его в настоящее время, направлена на коммерческие организации в странах, в которых говорят на немецком языке.

Вирус попадает на ПК сотрудника компании через ссылку в электронном письме, рассылаемом злоумышленниками. Ссылка ведет на EXE-файл в облаке Dropbox, замаскированный под резюме (его имя в переводе с немецкого языка — application_portfolio-packed.exe).

Замаскированное шифрование диска

После того как пользователь запускает файл, на ПК возникает сбой (он сопровождается «синим экраном смерти»), после чего происходит перезагрузка. При загрузке сразу же запускается якобы утилита CHKDSK, которая проверяет ошибки на диске. Пользователь видит предупреждение, что процесс проверки может занять несколько часов, и пользователь в это время ни в коем случае не должен выключать компьютер, иначе все данные будут уничтожены.

В действительности перед перезагрузкой ПК вирус Petya модифицирует загрузочный сектор диска Master Boot Record (MBR) для того, чтобы в дальнейшем иметь возможность управлять процессом загрузки.

После этого действительно происходит перезагрузка ПК, но затем запускается не CHKDSK, а вирус начинает свою работу — шифрование всех данных на накопителе (этот процесс как раз занимает несколько часов).

Использование Tor для анонимности

После завершения процесса фон экрана окрашивается в красный цвет, появляется изображение черепа и пользователь получает уведомление, что он стал жертвой вируса Petya.

Что все его данные на диске зашифрованы, и чтобы вновь получить к ним доступ, необходимо «выполнить три простых шага»: скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Пользователю отводится на это семь дней. После чего — обещает вирус — необходимая к уплате сумма будет удвоена.

По словам исследователей, злоумышленники выбрали Tor Browser с той целью, чтобы замаскировать собственные данные (сеть Tor позволяет полностью скрыть свою личность и местонахождение).

Источник: CNews



1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Комментарии:


  1. Комментатор: Дмитрий Беляев

    В продолжение темы:

    ЦРУ: Вредоносная программа NotPetya была создана ГРУ России

    По заявления ЦРУ, кибератака на Украину, осуществленная в 2017 года с помощью вредоноса NotPetya, была проведена российскими военными структурами. Утверждается, что их целью был подрыв финансовой системы Украины.

    Соответствующее сообщение было опубликовано издательством The Washington Post, которое ссылается на отчет ЦРУ. Согласно этому отчету, нашумевшая в свое время вредоносная программа NotPetya, атаковавшая в июне 2017 года украинские банки, энергетические компании, аэропорты и чиновников была создана Главным разведывательным управлением России. Также американский источник счел необходимым сообщить, что ЦРУ отказалось дать какие-либо официальные комментарии, касающиеся этих заявлений.

    Напомним, что атака этого вымогателя началась с украинской программы бухгалтерской отчетности M.E.Doc, сменившей запрещенную на Украине 1C. Всего за несколько дней NotPetya заразил сотни тысяч компьютеров в более чем 100 странах. Этот вредонос представляет собой вариант более старого вымогателя Petya, их отличает лишь то, что в атаках NotPetya использовался тот же эксплойт, что и в атаках WannaCry.

    Источник

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: