Petya/NotPetya ransomware rozprzestrzenianie się po sieci LAN
Oprogramowanie Petya ransomware zawiera teraz drugi program do szyfrowania plików dla przypadków, w których nie może zastąpić głównego rekordu rozruchowego komputera w celu zaszyfrowania jego tabeli plików.
Petya jest nietypowym zagrożeniem ransomware, które po raz pierwszy pojawił się na marce radców ds. bezpieczeństwa. Zamiast bezpośrednio szyfrować pliki użytkownika, szyfruje ona główną tabelę plików (MFT) używaną przez partycje NTFS do przechowywania informacji o nazwach plików, rozmiarach i położeniu na dysku fizycznym.
Przed zaszyfrowaniem MFT, Petya zastępuje wzorzec komputera rekord rozruchowy (MBR), który zawiera kod inicjujący bootloader systemu operacyjnego. Petya zastępuje go własnym złośliwym kodem wyświetlającym notatkę okupu i pozostawia komputery niezdolne do rozruchu.
[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]Jednakże, aby nadpisać MBR po zainfekowaniu komputer, szkodliwe oprogramowanie musi uzyskać uprawnienia administratora. Czyni to, pytając użytkowników o dostęp za pośrednictwem mechanizmu Kontroli Kontroli Użytkownika (UAC) w systemie Windows.
W poprzednich wersjach, jeśli Petya nie uzyskał uprawnień administratora, zatrzymał procedurę infekcji. Jednak w takim przypadku najnowszy wariant instaluje inny program ransomware, nazwany Mischa, który zaczyna szyfrować bezpośrednio pliki użytkowników, operacja, która nie wymaga specjalnych uprawnień.
"Nie ma niczego, czego deweloper ransomware nienawidzi więcej niż pozostawiając pieniądze na stole i tak właśnie dzieje się z Petya "- powiedział Lawrence Abrams, założyciel forum pomocy technicznej BleepingComputer.com w poście na blogu. "W przeciwieństwie do Petya, Mischa Ransomware to standardowe oprogramowanie ransomware odmiany ogrodu, które szyfruje twoje pliki, a następnie żąda zapłaty okupu za klucz odszyfrowywania."
O okup, o który Mischa pyta obecnie, wynosi 1,93 bitcoinów, czyli około 875 USD - więcej niż niektóre podobne programy ransomware.
Inną rzeczą, która wyróżnia Mischa, jest to, że szyfruje pliki wykonywalne (.EXE) oprócz dokumentów, zdjęć, filmów i innych plików generowanych przez użytkowników, zwykle atakowanych przez programy ransomware. Może to spowodować pozostawienie zainstalowanych programów i systemu operacyjnego w stanie niefunkcjonującym, co utrudnia zapłacenie okupu z systemu, którego dotyczy luka.
Instalator dla zestawu Petya-Mischa jest dystrybuowany za pośrednictwem wiadomości spamowych, które stanowią pracę Aplikacje. Te e-maile zawierają łącze do internetowej usługi przechowywania plików, w której znajduje się obraz rzekomego wnioskodawcy i złośliwego pliku wykonywalnego, który podszywa się pod dokument PDF.
Jeśli jest pobrany i wykonany, fałszywy plik PDF najpierw próbuje zainstalować Petya i jeśli to zawiedzie, instaluje Mischa. W przeciwieństwie do narzędzia Petya, dla którego dostępne jest narzędzie deszyfrujące, obecnie nie jest znany sposób przywracania plików zaszyfrowanych przez Mischa bez płacenia okupu.
Ransomware Petya stało się jeszcze gorsze
Ransomware Petya zawiera teraz drugi program do szyfrowania plików dla przypadków, w których nie może zastąpić komputera główny rekord rozruchowy do zaszyfrowania jego tabeli plików.
Tworzenie makra na komputer stacjonarny hackintosh stało się jeszcze łatwiejsze, dzięki ratownikowi!
Stworzenie komputera Mac Hackintosh stało się jeszcze łatwiejsze dzięki Lifehacker!
