У троянца «Пети» появился сообщник «Миша»

Объявившийся в марте вымогатель Petya обозначил новое направление в развитии криптоблокеров, пишет Threatpost. Это первый случай, когда подобный зловред пошел дальше шифрования файлов на локальных и общих дисках, избрав в качестве объекта главную таблицу файлов.

Тем не менее исследователям довольно быстро удалось создать инструмент, способный восстанавливать некоторые файлы, зашифрованные этим вымогателем. Как оказалось, злоумышленники тоже не теряли времени даром и нашли способ обойти другой недочет Petya — его зависимость от воли жертвы, которая сама должна предоставить зловреду права администратора для доступа к MFT.


На прошлой неделе был обнаружен новый инсталлятор для Petya, использующий резервный сценарий. Если при запуске зловреду не удается получить админ-привилегии, на зараженную машину устанавливается другой криптоблокер — Mischa.

По свидетельству Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, права администратора, необходимые для работы Petya, указаны в манифесте оригинальной сборки. «В результате перед запуском кода на исполнение Windows выводит диалоговое окно UAC, запрашивающее эти привилегии, — пояснил Абрамс в своем комментарии Threatpost. — Если служба UAC отключена, программа будет автоматически исполнена [с правами администратора]. В то же время, если пользователь нажал в UAC-окне «No», программа не запустится, и, следовательно, установки Petya не произойдет».

Таким образом, для операторов Petya подобные неудачи с инсталляцией, по словам Абрамса, просто «деньги на ветер». Чтобы исправить ситуацию, они упаковали его с инсталлятором другого блокера, Mischa, который исполняется, если вариант с Petya не прошел.

В манифесте новой версии указано, что для ее работы нужны учетные данные пользователя. В этом случае Windows разрешает запуск программы, не выводя предупреждение UAC. «При старте инсталлятора он в соответствии со своими настройками запрашивает права администратора, — комментирует Абрамс. — При этом пользователю выводится подсказка UAC, и, если он нажмет «Yes», как и в случае с отключенным UAC, программа получит права администратора и установит Petya. Если права администратора не получены, она устанавливает Mischa. Очень умно».

По поведению Mischa не отличается от других стандартных криптоблокеров. Он сканирует локальный диск, отыскивая файлы с определенными расширениями, и шифрует их AES-ключом, добавляя к имени расширение из четырех символов — например, 7GP3. «Шифруя файл, Mischa сохраняет зашифрованный ключ в конце итогового файла, — рассказывает Абрамс. — Досадно то, что он шифрует не только обычные в таких случаях файлы (PNG, JPG, DOCX и т.п.), но также .EXE». Закончив свою работу, Mischa требует 1,93 биткоина (около $875) за расшифровку с оплатой через сайт в сети Tor. Декриптор для этого зловреда пока не создан.

Новости портала

У каждого нашего пользователя есть возможность на форуме завести дневник или блог.

Поделись своими мыслями с друзьями.

Присоединяйся к нам!

Голосования

Что Вы за животное по-жизни?

Кто на сайте

Сейчас 27 гостей и ни одного зарегистрированного пользователя на сайте