Доброго дня. Ще в середині квітня 2016 року вдалося розробити “ліки” проти вірусу Petya (Петя), який шифрував весь диск. Але зловмисники вдосконалили трояна, створивши для нього “напарника” з ім’ям Misha. Чим небезпечна ця парочка і чи можна з нею боротися – дізнайтеся з продовження новини.
“Петя” потрапляє в систему через документи, архіви, прикріплені до листів. Спочатку користувач отримує лист ділового характеру (про вигідною вакансії або містить портфоліо робіт здобувача), яка містить посилання на скачування / відкриття шкідливого файлу.
Примітно, що для активації загрози не потрібні права адміністратора, оскільки Petya.A використовує цифрові підпису Майкрософт. Це дозволяє непомітно проникнути в систему і блискавично вразити завантажувач MBR.
Через кілька хвилин ПК самостійно перезавантажується і з’являється повідомлення про перевірки диска після термінового вимикання:
Також сказано, що ні в якому разі не можна вимикати ПК, щоб не нашкодити системі. Як раз в цей час, поки проводиться псевдо-сканування, вірус Petya шифрує завантажувальну область диска.
Далі з’являється нове вікно, в якому вказано особистий номер, необхідний для отримання ключа. Також надається посилання на сайт зловмисників:
Вам дається сім днів, щоб придбати дешифровщик за “пільговою” вартості. Потім ціна буде збільшена в два рази. Щоб уникнути зараження не варто відкривати підозрілі файли, і вже точно не надавати права адміністратора.
Рекомендую ознайомитися зі статтями про віруси Amba і Xtbl, які також шифрують дані.
Нова небезпека
В кінці червня 2017 року стало відомо, що вірус Petya був модифікований. Тепер, якщо йому не вдається отримати адмін права, він активує шифровальщика Misha. Останній не впливає на завантажувальні сектора, а робить недоступними документи, відео і фото.
Крім того, Petya.A просить заплатити 300 доларів в биткоинах. Але, незважаючи на масове зараження, протягом доби на рахунок зловмисників було відправлено близько 10 тисяч $.
Версій про походження нового штаму” досить багато, уряди різних країн звинувачують один одного. Але суть від цього не змінюється, страждають великі компанії, банки несуть мільйонні збитки.
Як не заразитися?
І якщо з “Петром” боротися можна (ось рішення), то “Міша” поки залишається невразливим. На жаль, навіть Cure It! не допомагає. Але незабаром, я впевнений, з’являться способи усунення даних троянів, про що я обов’язково розповім на своєму блозі.
З повагою, Віктор!