Немецкая фирма обнаружила новый тип вымогателя

    Немецкая фирма heise Security обнаружила новый тип crypto-вымогателя, причем главная плохая новость заключается в том, что в таком случае пользователь теряет доступ не к отдельным файлам, а к разделу диска (тому) как таковому. Вредоносная программа Petya выбрала в качестве мишени не отдельные файлы, а таблицу размещения файлов NTFS, известную как MFT. В таком случае для операций шифрования используется работа с диском на низком посекторном уровне, таким образом полностью теряется доступ ко всем файлам на томе.



    Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.


    Рис. Значок дроппера Petya с нарисованным щитом UAC. (данные Malwarebytes)

    После запуска дроппера в системе, Windows падает в BSOD, а после перезагрузки вымогатель отображает пользователю фальшивое окно стандартного инструмента Windows для работы с диском под названием chkdsk. В это время, Petya шифрует данные раздела.


    Рис. Фальшивое окно chkdsk после перезагрузки системы. (данные Malwarebytes)

    После выполнения своих вредоносных функций, пользователь увидит следующий экран.


    Рис. Вымогатель отображает экран пользователю. (данные Malwarebytes)


    Рис. Экран с требованием выкупа, который появляется после предыдущего. (данные Malwarebytes)


    Рис. Внешний вид веб-сайта, на котором можно оплатить выкуп (принадлежит анонимной сети TOR). (данные Malwarebytes)

    Для реализации своих функций без участия Windows на самом раннем этапе загрузки, вымогатель использует свой bootstrap-код, который записывается вместо стандартного, а также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.


    Демонстрация работы Petya.

    Для защиты от вымогателя мы рекомендуем использовать антивирусное ПО, а также не переходить по ссылкам, полученным из недоверенных источников. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.
    ESET NOD32 159,05
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 33
    • +4
      Кто-то прочитал книгу Е. Касперского «Компьютерные вирусы MS-DOS» и решил написать свой one half?
      • 0
        Офигительная книга, кстати. Читал ее в свое время как приключенческий роман :)
      • +10
        Ссылка в посте на новость от 24 марта. На гиктаймсе было 30 марта. На хабре было упоминание 1 апреля. Надеюсь, в ESET защиту пишут быстрее, чем "новости"? :-)
        • +1
          Определять его они начали с 26 марта [Mar-26-2016, 10:10 CET (UTC/GMT +01:00)] http://www.virusradar.com/en/Win32_Diskcoder.Petya/detail, включён в это обновление Update 13237.
        • 0
          Там всё веселее — если послать им образец перед праздниками (послал как-то в первых числах мая), то в базу он попадает очень сильно не сразу (в моём случае попал после 12 мая). Имея подписку и бесплатную авиру дома — сделал вывод не в пользу нода. Хотя по сравнению с прожорливым касперским действительно шустрее.
        • –2
          Низкий уровень — обычно, классически подразумевается работа не секторами, а со служебной информацией жесткого диска. См. "форматирование на низком уровне". С другой стороны, конечно, считая то количество уровней абстракции, что есть сейчас, работа в обход с файловой системой на уровне секторов и с таблицей разметки разделов становится "низкоуровневой". Хотелось бы, чтобы терминология в статье была консистентной и соответствующей общепринятой.
          • +5
            «Низкий уровень» в отношении жесткого диска — обычно, классически подразумевается работа как раз работа на уровне доступа к секторам. Работа со служебной информацией — это именно работа со служебной информацией, так оно и называется. А «форматирование на низком уровне» уже примерно четверть века как заводская/лабораторная технологическая операция, которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
            • 0
              … уже примерно четверть века… которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.

              Может при условии наличия сервисной программы. Не знаю, как сегодня, но некоторое время назад (7 лет) эти программы еще предоставлялись.
              • +1
                Не может, никакой сервисной программой. Магнитная головка жесткого диска физически не в состоянии провести форматирование современного «блина», сервометки наносятся намного более сильным магнитным полем на специальном стенде. Сервисные программы были и есть, но они касаются диагностики, корректировки таблицы адаптивов, прошивки и т.д. Кроме того, для доступа к программно-аппаратным средствам диагностики подключаться как правило надо не через SATA, а искать на плате выходы диагностического интерфейса.
                • 0
                  Пишу по своему опыту — 7 лет назад (не современный диск, нет. Но выше говорилось о четверти века, это точно не так), обычный интерфейс, через сервисную программу производилось форматирование. Допускаю, что сам процесс форматирования был просто профанацией (хотя и шел очень долго), но опция в сервисной программе была.
                  • 0
                    > Допускаю, что сам процесс форматирования был просто профанацией
                    Это скорее всего и было. Дело в том, что команда форматирования в АТА никуда не делась. Жесткий диск её просто проигнорирует, но если программа глуповатая, она будет честно проходить по всем трекам с этой командой.
          • +2
            "После выполнения своих вредоносных функций, пользователь увидит следующий экран"… Задумался, какие же вредоносные функции выполняет пользователь...
            • +2
              А вот нечего что не попадя запускать!!!1
            • –1
              xor? а сколько там длина ключа декодер уже написали?
              • 0
                Называется читал статью по диагонали:
                также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.

                Толку от расшифровки загрузчика windows?
              • 0
                Да, на неискушенного пользователя это действует для загрузки и запуска неизвестно чего и неизвестно от куда.
                Рекомендация на все случаи жизни: не пей из лужицы, станешь.
                • +3
                  По идее этот локер менее опасен чем обычные, которые шифруют файлы. Даже с зашифрованной MFT можно восстановить много данных по сигнатурам программами типа R-Studio.
                  И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.
                  • 0
                    По идее этот локер менее опасен чем обычные, которые шифруют файлы

                    Тем более этому локеру нужны права администратора, когда обычному шифровальщику достаточно доступа к файлам пользователя на запись.
                  • 0
                    Если у пользователя все файлы синхронизированы с облаком, то такой тип вымогателя — менее опасен, т.к. достаточно все снести и переустановить систему, + OneDrive/Dropbox/etc.
                    А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).
                    • 0
                      В Google Drive тоже есть версионность, но не в курсе какие там лимиты.
                      • 0
                        Нужно еще убедится, что версионность полноценная. Например в том-же OneDrive вроде как есть версионность для офисных документов. Но стоит поверх документа записать какой-нибудь мусор — доступ к старым версиям теряется (т.е. оригинал документа не восстановить никак).
                        • 0
                          Да, полноценная.
                      • 0
                        Onedrive поддерживает версионность, по крайней мере для документов office, что самое важное.
                        • 0
                          Только работает она, эта версионность, криво, и от крипто-локеров не спасет, что важно.
                          В частности — если записать поверх файла мусор (или зашифрованную версию файла) — то доступ к версиям теряется, и уже не восстановить никак оригинальный документ. Я проверял. Можете сами проверить тоже.
                      • +2
                        Раз система после шифрования не запускается, то это равносильно просто внезаптному выходу из строя жёсткого диска. Храните свои документы в Google Drive, Dropbox или другом облаке (можно даже своём или на флешке) и не будет у вас никаких проблем.
                        • 0
                          В облаке И своём "облаке на флешке".
                        • 0
                          А шифруются все диски или только системный?
                          Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?
                          • 0
                            восстанавливает ли вирус работу компьютера если заплатить? проводятся ли такие испытания? по идее вирусописатель может спалится как раз в момент оплаты.
                            • 0
                              Функция расшифровки после ввода корректного ключа в коде присутствует. Вопрос лишь в том, высылают ли ключ.
                            • 0
                              Гораздо интересней как вымогается оплата, через bitcoin? Там же видно все транзакции, сколько уже сделали переводом этому вымогателю и на какую сумму?
                              • 0
                                Как-то с новостью опоздали: geektimes.ru/company/icover/blog/273534
                                • 0
                                  Ну вот у меня есть свои предрассудки, я вообще не юзаю антивири, ну вот совсем, есть такое у меня, и UAC тоже на мин. Т.е. в таком варианте реальный способ только судорожно при вылете бсода вырубать комп, вытаскивать винт, подрубать его к другому компу (только не как загрузочный) делать резервы т.к. наверняка зашифровать еще Петя не успел. и все, форматить винт. И т.д.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое