Вірус-шифрувальник Petya стає небезпечніше

12

Доброго дня. Ще в середині квітня 2016 року вдалося розробити «ліки» проти вірусу Petya (Петя), який шифрував весь диск. Але зловмисники вдосконалили трояна, створивши для нього «напарника» з ім’ям Misha. Чим небезпечна ця парочка і чи можна з нею боротися – дізнайтеся з продовження новини.

«Петя» потрапляє в систему через документи, архіви, прикріплені до листів. Спочатку користувач отримує лист ділового характеру (про вигідною вакансії або містить портфоліо робіт здобувача), яка містить посилання на скачування / відкриття шкідливого файлу.

Примітно, що для активації загрози не потрібні права адміністратора, оскільки Petya.A використовує цифрові підпису Майкрософт. Це дозволяє непомітно проникнути в систему і блискавично вразити завантажувач MBR.

Через кілька хвилин ПК самостійно перезавантажується і з’являється повідомлення про перевірки диска після термінового вимикання:

Також сказано, що ні в якому разі не можна вимикати ПК, щоб не нашкодити системі. Як раз в цей час, поки проводиться псевдо-сканування, вірус Petya шифрує завантажувальну область диска.

Далі з’являється нове вікно, в якому вказано особистий номер, необхідний для отримання ключа. Також надається посилання на сайт зловмисників:

Вірус-шифрувальник Petya стає небезпечніше

Вам дається сім днів, щоб придбати дешифровщик за «пільговою» вартості. Потім ціна буде збільшена в два рази. Щоб уникнути зараження не варто відкривати підозрілі файли, і вже точно не надавати права адміністратора.

Рекомендую ознайомитися зі статтями про віруси Amba і Xtbl, які також шифрують дані.

Нова небезпека

В кінці червня 2017 року стало відомо, що вірус Petya був модифікований. Тепер, якщо йому не вдається отримати адмін права, він активує шифровальщика Misha. Останній не впливає на завантажувальні сектора, а робить недоступними документи, відео і фото.

Крім того, Petya.A просить заплатити 300 доларів в биткоинах. Але, незважаючи на масове зараження, протягом доби на рахунок зловмисників було відправлено близько 10 тисяч $.

Версій про походження нового штаму» досить багато, уряди різних країн звинувачують один одного. Але суть від цього не змінюється, страждають великі компанії, банки несуть мільйонні збитки.

Як не заразитися?

І якщо з «Петром» боротися можна (ось рішення), то «Міша» поки залишається невразливим. На жаль, навіть Cure It! не допомагає. Але незабаром, я впевнений, з’являться способи усунення даних троянів, про що я обов’язково розповім на своєму блозі.

З повагою, Віктор!