Донецкий техникум промышленной автоматики

Вимагач Petya. Що за комп'ютерний вірус атакує Україну

Вірус Petya, який сьогодні атакував багато українських, в тому числі і державні, структури, добре відомий росіянам. Пропонуємо вашій увазі статтю одного російського видання про цей вірус

Експерти компанії G DATA повідомляють про виявлення незвичайної здирницькою малварі. Вимагач Petya - це старий добрий локер, на зміну яким останнім часом прийшли шифрувальники. Але Petya блокує не тільки робочий стіл або вікно браузера, він взагалі запобігає завантаження операційної системи. Повідомлення з вимогою викупу при цьому говорить, що малваре використовує "військовий алгоритм шифрування" і шифрує весь жорсткий диск відразу, пише xakep.ru.

У недавньому минулому локери (вони ж блокувальники) були дуже поширеним типом малварі. Деякі з них блокували робочий стіл, інші тільки вікно браузера, але всі вони вимагали від жертви викуп за відновлення доступу. На зміну Локерен прийшли шифрувальники, які не просто блокують дані, але і шифрують їх, що значно підвищує ймовірність оплати викупу.

Проте фахівці компанії G DATA виявили свіжий приклад локера, який називає себе Petya. У повідомленні з вимогою викупу малваре заявляє, що поєднує в собі функції блокувальника і шифрувальника разом.

Фішингових лист HR фахівця

Petya переважно атакує фахівців з кадрів. Для цього зловмисники розсилають фішингові листи узконаправленного характеру. Послання нібито є резюме від кандидатів на будь-яку посаду. До листів додається посилання на повне портфоліо здобувача, файл якого розміщується на Dropbox. Зрозуміло, замість портфоліо по посиланню розташовується малваре - файл application_portfolio-packed.exe (в перекладі з німецької).

exe (в перекладі з німецької)

фальшиве портфоліо

Запуск цього .exe файлу призводить до падіння системи в "синій екран смерті" і подальшої перезавантаження. Експерти G DATA вважають, що перед ребут шкідливий втручається в роботу MBR з метою перехоплення управління процесом завантаження.

фейковий CHKDSK

Після перезавантаження комп'ютера жертва бачить імітацію перевірки диска (CHKDSK), після закінчення якої на екрані комп'ютера завантажується зовсім не операційна система, а екран блокування Petya. Вимагач повідомляє потерпілому, що всі дані на його жорстких дисках були зашифровані за допомогою "військового алгоритму шифрування" і відновити їх неможливо.

Вимагач повідомляє потерпілому, що всі дані на його жорстких дисках були зашифровані за допомогою військового алгоритму шифрування і відновити їх неможливо

Для відновлення доступу до системи і розшифровки даних жертві потрібно заплатити викуп, перейшовши на сайт зловмисника в зоні .onion. Якщо оплата не була проведена протягом семи днів, сума викупу подвоюється. "Купити" у атакуючого пропонується спеціальний "код розшифровки", вводити який потрібно прямо на екрані локера.

Купити у атакуючого пропонується спеціальний код розшифровки, вводити який потрібно прямо на екрані локера

Фахівці G DATA пишуть, що поки не розібралися у механізмі роботи Petya до кінця, але підозрюють, що шкідливий просто бреше про шифрування даних. Найімовірніше, малваре просто блокує доступ до файлів і не дає операційній системі завантажитися. Експерти настійно не рекомендують платити зловмисникам викуп і обіцяють в недалекому майбутньому опублікувати оновлену інформацію про загрозу.

Подивитися на "Петю" в дії можна в роликах нижче.

Більше новин про політичне життя України читайте в рубриці держава