Petya Ransomware
(шифровальщик-вымогатель, MBR-модификатор)
Этот крипто-вымогатель шифрует жёсткий диск компьютера, портит таблицу размещения файлов NTFS, известную как MFT. Работа с диском выполняется на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.
На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны.
👉 Примечательно, что этот первый Petya не мог обходить UAC, поэтому запрашивал административные привилегии на установку, чтобы потом тайно изменить MBR. Если привилегий он не получал, то ничего плохого на компьютере не делал.
© Генеалогия: Petya > Petya+Mischa (Petya-2) > GoldenEye (Petya-3) > ☠ Petna ...
Обратите внимание на логотип крипто-вымогателя.
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами.
Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки, где на красном фоне белыми буквами написаны основные требования вымогателей.
Содержание записки о выкупе:
You became victim of the PETYA RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Enter your personal decryption code there:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
If you already purchased your key, please enter it below.
Key: _
Перевод записки на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, показанной на шаге 2-м.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых шага:
1. Загрузите Tor-браузер со страницы xxxxs://www.torproject.org/. Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Введите свой личный код дешифрования:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
Если вы уже приобрели свой ключ, введите его ниже.
Ключ: _
Технические детали
Вредоносное ПО Petya, вероятно, разработано специально для атак на организации и предприятия. Распространяется с помощью фишинговых электронных писем (email-спама), адресованных отделам кадров, специалистам по кадрам, тем кто обязан просматривать резюме кандидатов на вакантную должность (т.н. соискателей). См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда якобы можно загрузить "портфолио". Но вместо портфолио по ссылке находится вредоносный файл – Bewerbungsmappe-gepackt.exe (что-то вроде "application_portfolio-packed", если перевести название на английский).
После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки компьютера.
После перезагрузки компьютера жертва увидит имитацию стандартной для Windows проверки диска (CHKDSK). На этом экране утверждается, что запускается проверка диска, но на самом деле это тот момент, когда файлы на ПК становятся недоступными для пользователя.
По окончании "проверки" на экране компьютера загружается не операционная система, а экран блокировки Petya. Сначала появляется мигающий экран, где на красном фоне "красуется" стилизованное изображение черепа с костями. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).
На следующем экране пострадавшему сообщается, что все данные на его жёстких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через 7 дней цена на ключ дешифрования удвоится (см. ниже скриншот, демонстрирующий отсчет оставшегося времени).
Не определён. Но это в первую очередь могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Или же все файлы без разбора.
Файлы, связанные с этим Ransomware:
Bewerbungsmappe-gepackt.exe
<random>.exe
petya_dlab.dll
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на petya_dlab.dll >>
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>
Степень распространённости: средняя, но перспективно высокая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up, Write-up, Write-up Video review
Thanks: G DATA Lawrence Abrams Malwarebytes Labs Andrew Ivanov
© Amigo-A (Andrew Ivanov): All blog articles.
