Petya: ransomvér, ktorý zašifruje celý disk

Začiatkom mesiaca ste si mohli prečítať o víruse KeRanger pracujúcom na platforme OS X a neskôr zas o Neumcod šifrujúcom počítač, podobne ako aj nový ransomware Petya.

Vydieračský vírusu Petya šíriaci sa prostredníctvom e-mailových správ ponúka pracovnú ponuku v neďalekom Nemecku. Otvorením správy vám nič nehrozí, avšak zlom nastane po stiahnutí a spustení priloženého súboru umiestnenom v cloud úložisku Dropbox.

Stiahnutím priloženého súboru „Bewerbungsmappe-gepackt.exe“, ktorý sa tvári ako samorozbaľovací archív pribalený s ďalšími neškodnými súbormi, už stačí iba spustiť infikovaný .exe súbor. Po jeho spustení dôjde k mechanizmu, ktorý obíde menej ako polovicu antivírusových riešení a ransomware Petya sa dostane do systému.

Petya prepíše MBR (Hlavný Zavádzací Záznam) infikovaného počítača a nechá počítač v stave bez možnosti opätovného spustenia systému. MBR je kód uložený v prvom sectore hard disku. Obsahuje záznamy o partíciach a dôležité informácie o bootovaní systému. Bez nepoškodeného MBR počítač nevie nájsť partíciu, ktorá obsahuje nainštalovaný OS.

Petya-12
ZDROJ | Sensorstechforum

Po spustení infikovaného súboru Petya prepísaním MBR spôsobí v systéme Windows niekoľko kritických chýb vedúcich k známej modrej obrazovke (Blue Screen of Death – BSOD) a teda k reštartu.

Reštartom vírus dostane možnosť zašifrovať celý disk a to vďaka falošnej operácií Windows check disk. Operácia kontrolujúca disk v tomto prípade však postupne šifruje disk, konkrétne MFT (Master File Table).

Pozrite siESET objavil ransomware LockerPIN, ktorý na telefóne mení PIN

Petya nešifruje všetky dáta, keďže pri HDD s veľkou kapacitou by to trvalo veľmi dlho a používateľ by si možno uvedomil, že je to podvod. Šifrovaním MFT operačný systém stráca vedomosť o umiestnení dát na disku, čím v podstate vírus dokáže zašifrovať celý disk.

Dokončením operácie poškodený používateľ uvidí na obrazovke správu s inštrukciami na opätovný prístup k dátam. Ako aj predchádzajúce ransomware, aj tu autori vyžadujú prístup pomocou Tor siete a platbu v BitCoin (BTC) mene. Konkrétne 0,99 BTC, čo je podľa aktuálneho kurzu približne 422 amerických dolárov.

 

ZdrojPcworld,Theenextweb


Komentáre k článku