Вымогатель «Петя» блокирует загрузку ОС и требует выкуп за расшифровку данных

neformat / Мар.28.2016. / Нет комментариев

petya

Не так давно ИТ специалистами в сети был замечен новый вирус «Петя» из хорошо известных нам вирусов шифровальщиков и блокираторов загрузки ОС. Его уже взяли на карандаш ведущие агентства по защите информации.

Специалисты авторитетного агентства G DATA сообщили об обнаружении необычного вируса-вымогателя. Вирус Petya – классический локер. Данный вид вирусов был очень популярен несколько лет назад, однако позднее им на замену пришли шифровальщики. Однако Petya не просто блокирует окно обозревателя или рабочий стол, вредоносная программа полностью блокирует загрузку ОС. В тексте требования выкупа сообщается, что вирус зашифровал весь жесткий диск пользователя, используя при этом «военный алгоритм шифрования».

Вредоносное приложение атакует преимущественно специалистов по кадрам. Для этого злоумышленники формируют узконаправленную фишинговую рассылку. Сообщение якобы представляет собой резюме от кандидата на определенную должность. В письме содержится ссылка на портфолио, файл расположен на сервисе Dropbox. Однако вместо документа при активации ссылки загружается исполняемый файл с названием application_portfolio-packed (если перевести с немецкого).

Запуск данного файла приводит к критическому сбою Windows с появлением «синего экрана смерти», после чего система автоматически перезагружается.

Специалисты полагают, что вирус перед перезагрузкой системы редактирует MBR (загрузочная запись), чтобы контролировать процесс загрузки.

После перезагрузки на экране имитируется работа утилиты CHKDSK (проверка диска на различные ошибки), после чего вместо Windows загружается экран блокировки вируса Petya. В тексте сообщается, что вся информация надежно зашифрована, самостоятельно восстановить ее невозможно.

Для восстановления данных жертве предлагается заплатить выкуп, для чего необходимо перейти на сайт злоумышленников, расположенный в зоне .onion. При этом злоумышленники заявляют, что если оплата не поступит в течение двух суток, то сумма будет удвоена. Приобрести предлагается специальный код, который необходимо ввести непосредственно на экране блокировки.

Представители G DATA отметили, что пока не закончили полный анализ вируса, однако подозревают, что шифрование данных вообще не происходит. Вирус может просто блокировать загрузку операционной системы.



Оставить комментарий

Войти с помощью: 


<------------->