Вначале программы-вымогатели запирали рабочий стол. Затем они начали шифровать файлы. Вскоре после этого блокеры начали атаковать веб-серверы, общие диски и резервные копии. Что же дальше на очереди?

Позвольте представить Petya, вымогателя, мишенью которого является главная загрузочная запись. Этот зловред был обнаружен в ходе анализа малотиражной спам-рассылки, ориентированной на кадровиков немецких компаний. Он шифрует главную таблицу файлов, MFT, и требует 0,9 биткойна (около $380) за ключ дешифрации.

По свидетельству BleepingComputer, вредоносный спам содержит ссылку на Dropbox, при активации которой происходит загрузка инсталлятора вымогателя. После запуска Petya подменяет MBR зловредным загрузчиком, который провоцирует перезапуск Windows и отображает на экране имитацию проверки диска (CHKDSK).

«На стадии фальшивой CHKDSK-проверки Petya шифрует главную таблицу файлов на диске, — пишут исследователи в блоге. — После повреждения MFT, путем шифрования в данном случае, компьютер теряет возможность определять местоположение файлов, даже их наличие, и они, таким образом, становятся недоступными».

Требование выкупа отображается жертве до загрузки Windows; пользователю сообщают, что жесткий диск зашифрован, и поясняют, как зайти на сайт в сети Tor и произвести оплату. На настоящий момент способа расшифровки MFT, согласно BleepingComputer, нет, можно лишь снять блокировку экрана (поддельную CHKDSK) с помощью команды FixMBR или посредством восстановления главной загрузочной записи. В последнем случае инфекция будет удалена, но, к сожалению, ценой переустановки Windows и потери данных.

Petya — лишь новейший пример привнесения в вымогательское ПО функциональности, способной затруднить анализ и оборону. Незадолго до его появления был обнаружен еще один блокер-новатор — PowerWare, на котором злоумышленники опробовали бесфайловый способ заражения.

Категории: Аналитика, Вредоносные программы