Исследователи продолжают изучать образцы криптоблокера Petya и уже выявили некоторые внутренние механизмы, однако этого недостаточно, чтобы создать полноценный декриптор.

Petya — одна из новейших итераций вымогательского ПО, осуществляющего шифрование. Он был обнаружен в ходе анализа спам-рассылок, ориентированных на кадровые службы немецких компаний. Поддельные письма содержали ссылку на Dropbox, при активации которой происходила загрузка инсталлятора Petya. Dropbox уже деактивировала несколько вредоносных ссылок, ассоциированных с этой спам-кампанией.

Отличительной чертой данного криптоблокера является нестандартность объекта атаки: Petya шифрует не пользовательские данные, а главную таблицу файлов (MFT).

В минувшее воскресенье исследователь из Malwarebytes, использующая ник Hasherezade, заявила, что ей удалось выяснить, как Petya шифрует таблицу разделов — по XOR с ключом в виде ASCII-кода символа «7» (шестнадцатеричное 0x37).

Исполняемый дроппером зловред перезаписывает MBR загрузочного диска вредоносным лоудером, провоцирует перезапуск Windows и отображает жертве фальшивую проверку диска (операцией CHKDSK), а сам в это время шифрует MFT в фоновом режиме. В другом твите Hasherezade отметила, что вымогатель создает зашифрованную по XOR резервную копию таблицы разделов, вызывая тем самым исполнение BSoD («синего экрана смерти»).

«Сохранить данные на этом этапе относительно просто, так как переписывается лишь начало атакуемого диска, — пишет эксперт. — Файловая система не уничтожается, этот диск еще можно смонтировать и использовать его контент».

Hasherezade рекомендует жертвам заражения не перезагружать систему, а лучше сделать дамп диска, чтобы в итоге можно было подключить диск на другой ОС и выполнить резервное копирование. Она также предупреждает, что по завершении второго этапа атаки, операции по «проверке диска», файловая система станет недоступной для чтения.

Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer полагает, что вернуть данные в этом случае можно с помощью специализированного инструмента для восстановления файлов, который отыскивает их путем анализа структуры диска, не прибегая к MFT. «К сожалению, файлы в данном случае могут быть восстановлены в таком виде, что пользователю придется вручную определять тип каждого файла и присваивать соответствующие имена, — добавляет эксперт. — То еще развлечение».

Исследователь Фабиан Возар (Fabian Wosar) по этому поводу отметил, что ключом ASCII 7 шифруются лишь конкретные секции данных, а расшифровка по XOR зависит от пароля разработчика.

Из записи Возара на форуме KernelMode.info:

«Сектор 0x37 содержит первые 512 байт ключевого потока, который был использован для шифрования MFT. Он обфусцирован по XOR с ключом 0x37. Этим ключом расшифровываются первые 8 секторов MFT, но после 4096 байт ключевой поток изменяется. Могу сказать только, что это изменение зависит от введенного пароля, так что я не думаю, что можно вернуть информацию без знания пароля или 32-байтного ключа для прогнозирования ключевого потока. На первый взгляд единственная причина для этого — проверка, был ли введен правильный пароль, то есть первые 512 байт потока, сгенерированные паролем, сравниваются с частичным ключевым потоком, который тут хранится, чтобы можно было проверить, ввел ли пользователь корректный пароль».

Категории: Аналитика, Вредоносные программы, Главное