Немецкая фирма обнаружила новый тип вымогателя

в 13:56, , рубрики: ransomware, Блог компании ESET NOD32

Немецкая фирма heise Security обнаружила новый тип crypto-вымогателя, причем главная плохая новость заключается в том, что в таком случае пользователь теряет доступ не к отдельным файлам, а к разделу диска (тому) как таковому. Вредоносная программа Petya выбрала в качестве мишени не отдельные файлы, а таблицу размещения файлов NTFS, известную как MFT. В таком случае для операций шифрования используется работа с диском на низком посекторном уровне, таким образом полностью теряется доступ ко всем файлам на томе.

Немецкая фирма обнаружила новый тип вымогателя - 1

Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

Немецкая фирма обнаружила новый тип вымогателя - 2
Рис. Значок дроппера Petya с нарисованным щитом UAC. (данные Malwarebytes)

После запуска дроппера в системе, Windows падает в BSOD, а после перезагрузки вымогатель отображает пользователю фальшивое окно стандартного инструмента Windows для работы с диском под названием chkdsk. В это время, Petya шифрует данные раздела.

Немецкая фирма обнаружила новый тип вымогателя - 3
Рис. Фальшивое окно chkdsk после перезагрузки системы. (данные Malwarebytes)

После выполнения своих вредоносных функций, пользователь увидит следующий экран.

Немецкая фирма обнаружила новый тип вымогателя - 4
Рис. Вымогатель отображает экран пользователю. (данные Malwarebytes)

Немецкая фирма обнаружила новый тип вымогателя - 5
Рис. Экран с требованием выкупа, который появляется после предыдущего. (данные Malwarebytes)

Немецкая фирма обнаружила новый тип вымогателя - 6
Рис. Внешний вид веб-сайта, на котором можно оплатить выкуп (принадлежит анонимной сети TOR). (данные Malwarebytes)

Для реализации своих функций без участия Windows на самом раннем этапе загрузки, вымогатель использует свой bootstrap-код, который записывается вместо стандартного, а также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.


Демонстрация работы Petya.

Для защиты от вымогателя мы рекомендуем использовать антивирусное ПО, а также не переходить по ссылкам, полученным из недоверенных источников. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

Автор: ESET NOD32

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js