Німецька фірма виявила новий тип здирника

Німецька фірма heise Security обнаружила новий тип crypto-здирника, причому головна погана новина полягає в тому, що в такому випадку користувач втрачає доступ до окремих файлів, а до розділу диска (того) як такого. Шкідлива програма Petya вибрала в якості мішені не окремі файли, а таблицю розміщення файлів NTFS, відому як MFT. У такому разі для операцій шифрування використовується робота з диском на низькому посекторном рівні, таким чином повністю втрачається доступ до всіх файлів на томі.



Друга погана новина полягає в тому, що дроппер Petya використовує спеціальну маскування для приховування своєї шкідливої активності. Так як для взаємодії з диском на низькому рівні вимагачеві потрібні розширені привілеї, він з використанням свого фішингової значка попереджає користувача про необхідність активувати UAC, коли той запросить у користувача надання додаткових привілеїв дроппера в системі. Антивірусні продукти ESET виявляє Petya як Win32/Diskcoder.Petya.


Рис. Значок дроппера Petya з намальованим щитом UAC. (дані Malwarebytes)

Після запуску дроппера в системі, Windows падає в BSOD, а після перезавантаження вимагач відображає користувачеві фальшиве вікно стандартного інструменту Windows для роботи з диском під назвою chkdsk. В цей час, Petya шифрує дані розділу.


Рис. Фальшиве вікно chkdsk після перезавантаження системи. (дані Malwarebytes)

Після виконання своїх шкідливих функцій, користувач побачить наступний екран.


Рис. Вимагач відображає екран користувача. (дані Malwarebytes)


Рис. Екран з вимогою викупу, який з'являється після попереднього. (дані Malwarebytes)


Рис. Зовнішній вигляд веб-сайту, на якому можна сплатити викуп (належить анонімної мережі TOR). (дані Malwarebytes)

Для реалізації своїх функцій без участі Windows на самому ранньому етапі завантаження, вимагач використовує свій bootstrap-код, який записується замість стандартного, а також використовує свій завантажувач, який розміщує в перших секторах розділу диска. Оригінальне вміст секторів шифрується простою операцією XOR і зберігається на диску.

Демонстрація роботи Petya.

Для захисту від здирника ми рекомендуємо використовувати антивірусне ПЗ, а також не переходити за посиланнями, отриманими з ненадійних джерел. Антивірусні продукти ESET виявляє Petya як Win32/Diskcoder.Petya.

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.