SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
5 Апр 2016

Вымогатель Petya шифрует жесткие диски

Похоже, 2016 год можно смело назвать годом троянцев-вымогателей, так как новые зловреды и их обновленные версии появляются как грибы после дождя.

К тому же они развиваются, причем быстро. Новые вымогатели используют сильные алгоритмы шифрования с длинными ключами, не зная которые расшифровать данные не получится.

Плохие парни перешли на Tor и платежи в биткойнах, чтобы их точно никогда не поймали. Ну а теперь появился троянец-вымогатель «Петя», который забирает у пользователя доступ к жесткому диску целиком, вместо того чтобы корпеть над отдельными файлами. Как у «Пети» получается добраться до вашего ПК? Основной целью «Пети» являются корпоративные пользователи: шифровальщик попадает на ПК с помощью спама, притворяясь письмом от кандидата на ту или иную должность. Стандартный сценарий заражения выглядит следующим образом.

HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением .EXE. После того как пользователь решается открыть «резюме», перед ним оказывается не документ с информацией об опыте работы кандидата, а синий экран смерти. Это значит, что «Петя» попал на ПК пользователя и приступил к своим черным делам.

Весь ваш жесткий диск принадлежит нам

Обычно троянцы-вымогатели шифруют только файлы определенного типа: картинки, документы или сохранения игр — и оставляют операционную систему нетронутой, чтобы жертва могла воспользоваться своим ПК, чтобы внести выкуп. Но «Петя» из числа более свирепых: он предпочитает блокировать жесткий диск целиком.

Вне зависимости от того, много разделов на вашем жестком диске или всего один, на нем всегда остается некое невидимое для пользователя пространство. Оно называется Master Boot Record, или главная загрузочная запись. В ней содержатся данные о количестве разделов на диске и специальный код, необходимый для загрузки операционной системы. Он называется Boot Loader.

Этот код всегда запускается перед самой ОС, и именно его модифицирует Petya, чтобы при запуске компьютера загружалась не операционная система, а «Петин» вредоносный код.

Для пользователя этот процесс выглядит так, будто после падения системы заработал Check Disk (программа для проверки дисков и файловой системы). Но на самом деле в это время «Петя» шифрует Master File Table, или главную таблицу файлов. Эта таблица является еще одной скрытой частью вашего жесткого диска: она содержит данные о том, как расположены все ваши файлы и папки.

Представьте, что ваш жесткий диск — это огромная библиотека, в которой хранятся миллионы и даже миллиарды книг. А главная таблица файлов выступает в роли библиотечного каталога. На самом деле это довольно упрощенное объяснение. Если чуть ближе к истине, то надо говорить, что «книги» на жестком диске хранятся не целиком, а в виде отдельных страниц и даже кусочков бумаги. Без какой-либо сортировки или даже намека на порядок.

Так что можете себе представить, насколько сложно будет найти хотя бы одну «книгу», или файл, если кто-то украдет каталог из библиотеки. Но именно это и делает «Петя».

Закончив шифровать главную таблицу файлов, «Петя» показывает свое истинное лицо, которое выглядит как череп, составленный из символов ASCII. Дальше начинается стандартная для всех шифровальщиков часть: троянец требует у жертвы выкуп — в данном случае в размере 0,9 биткойна (примерно $380).

На данном этапе единственное, что отличает «Петю» от других вымогателей, — это то, что он работает без подключения к Сети. Но это, в общем-то, и неудивительно, поскольку «Петя» самостоятельно «съел» операционную систему вместе с возможностью подключиться к Интернету. Так что пользователю приходится искать другой компьютер, чтобы заплатить выкуп и вернуть данные.

Как победить «Петю»

Когда речь идет о современных троянцах-вымогателях, специалистам по безопасности крайне сложно найти способ расшифровки украденных данных. Не удалось это и в случае с «Петей». По крайней мере пока.

Тем не менее у нас есть и хорошие новости. Dropbox удалил вредоносные архивы, содержащие «Петю», и теперь злоумышленникам придется искать новые способы распространения троянца. Проблема в том, что, скорее всего, это не займет у них много времени. Поэтому важно понять, как не дать вымогателю добраться до ваших данных.

1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.

2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.

3. Лучший способ защиты — это предупредить атаку, используя защитное решение.

Теги:
Petya утечка информации
Источник:
Kaspersky Daily
1879
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015