Объявившийся в марте вымогатель Petya обозначил новое направление в развитии криптоблокеров. Это первый случай, когда подобный зловред пошел дальше шифрования файлов на локальных и общих дисках, избрав в качестве объекта главную таблицу файлов.

Тем не менее Petya оказался не без греха, и исследователям довольно быстро удалось создать инструмент, способный восстанавливать некоторые файлы, зашифрованные этим вымогателем. Как оказалось, злоумышленники тоже не теряли времени даром и нашли способ обойти другой недочет Petya — его зависимость от воли жертвы, которая сама должна предоставить зловреду права администратора для доступа к MFT.

На прошлой неделе был обнаружен новый инсталлятор для Petya, использующий резервный сценарий. Если при запуске зловреду не удается получить админ-привилегии, на зараженную машину устанавливается другой криптоблокер — Mischa.

По свидетельству Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, права администратора, необходимые для работы Petya, указаны в манифесте оригинальной сборки. «В результате перед запуском кода на исполнение Windows выводит диалоговое окно UAC, запрашивающее эти привилегии, — пояснил Абрамс в своем комментарии Threatpost. — Если служба UAC отключена, программа будет автоматически исполнена [с правами администратора]. В то же время, если пользователь нажал в UAC-окне «No», программа не запустится, и, следовательно, установки Petya не произойдет».

Таким образом, для операторов Petya подобные неудачи с инсталляцией, по словам Абрамса, просто «деньги на ветер». Чтобы исправить ситуацию, они упаковали с инсталлятором другого блокера, Mischa, который исполняется, если вариант с Petya не прошел.

В манифесте новой версии указано, что для ее работы нужны учетные данные пользователя. В этом случае Windows разрешает запуск программы, не выводя предупреждение UAC. «При старте инсталлятора он в соответствии со своими настройками запрашивает права администратора, — комментирует Абрамс. — При этом пользователю выводится подсказка UAC, и, если он нажмет «Yes», как и в случае с отключенным UAC, программа получит права администратора и установит Petya. Если права администратора не получены, она устанавливает Mischa. Очень умно».

mischa-note

Petya тем временем продолжает атаковать немецких кадровиков через спам, снабженный ссылкой на вредоносный файл в облачном хранилище. Вначале злоумышленники использовали с этой целью Dropbox, но после блокировки вредоносных Dropbox-ссылок им пришлось перейти на германский сервис TelekomCloud. Исполняемый файл замаскирован под pdf-документ, якобы резюме претендента на замещение вакантной должности, и даже содержит некое фото.

«При загрузке исполняемого файла у пользователя появляется иконка PDF, создающая впечатление, будто бы это резюме в pdf-формате, — констатирует Абрамс. — Однако при запуске этот файл пытается установить Petya, а в случае неудачи — вымогателя Mischa».

По поведению Mischa не отличается от других стандартных криптоблокеров. Он сканирует локальный диск, отыскивая файлы с определенными расширениями, и шифрует их AES-ключом, добавляя к имени расширение из четырех символов — например, 7GP3. «Шифруя файл, Mischa сохраняет зашифрованный ключ в конце итогового файла, — рассказывает Абрамс. — Досадно то, что он шифрует не только обычные в таких случаях файлы (PNG, JPG, DOCX и т.п.), но также .EXE».

Закончив свою работу, Mischa требует 1,93 биткойна (около $875) за расшифровку с оплатой через сайт Tor. Декриптор для этого зловреда пока не создан. «Жертвам всегда рекомендуется прежде всего проверить сохранность теневых копий с помощью Shadow Explorer, — отметил в заключение Абрамс. — Они могут пригодиться для восстановления старых версий зашифрованных файлов».

Категории: Аналитика, Вредоносные программы