У троянца «Пети» появился сообщник «Миша»
Новости Безопасность
Объявившийся в марте вымогатель Petya обозначил новое направление в развитии криптоблокеров, пишет Threatpost. Это первый случай, когда подобный зловред пошел дальше шифрования файлов на локальных и общих дисках, избрав в качестве объекта главную таблицу файлов.
Тем не менее исследователям довольно быстро удалось создать инструмент, способный восстанавливать некоторые файлы, зашифрованные этим вымогателем. Как оказалось, злоумышленники тоже не теряли времени даром и нашли способ обойти другой недочет Petya — его зависимость от воли жертвы, которая сама должна предоставить зловреду права администратора для доступа к MFT.
На прошлой неделе был обнаружен новый инсталлятор для Petya, использующий резервный сценарий. Если при запуске зловреду не удается получить админ-привилегии, на зараженную машину устанавливается другой криптоблокер — Mischa.
По свидетельству Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, права администратора, необходимые для работы Petya, указаны в манифесте оригинальной сборки. «В результате перед запуском кода на исполнение Windows выводит диалоговое окно UAC, запрашивающее эти привилегии, — пояснил Абрамс в своем комментарии Threatpost. — Если служба UAC отключена, программа будет автоматически исполнена [с правами администратора]. В то же время, если пользователь нажал в UAC-окне «No», программа не запустится, и, следовательно, установки Petya не произойдет».
Таким образом, для операторов Petya подобные неудачи с инсталляцией, по словам Абрамса, просто «деньги на ветер». Чтобы исправить ситуацию, они упаковали его с инсталлятором другого блокера, Mischa, который исполняется, если вариант с Petya не прошел.
В манифесте новой версии указано, что для ее работы нужны учетные данные пользователя. В этом случае Windows разрешает запуск программы, не выводя предупреждение UAC. «При старте инсталлятора он в соответствии со своими настройками запрашивает права администратора, — комментирует Абрамс. — При этом пользователю выводится подсказка UAC, и, если он нажмет «Yes», как и в случае с отключенным UAC, программа получит права администратора и установит Petya. Если права администратора не получены, она устанавливает Mischa. Очень умно».
По поведению Mischa не отличается от других стандартных криптоблокеров. Он сканирует локальный диск, отыскивая файлы с определенными расширениями, и шифрует их AES-ключом, добавляя к имени расширение из четырех символов — например, 7GP3. «Шифруя файл, Mischa сохраняет зашифрованный ключ в конце итогового файла, — рассказывает Абрамс. — Досадно то, что он шифрует не только обычные в таких случаях файлы (PNG, JPG, DOCX и т.п.), но также .EXE». Закончив свою работу, Mischa требует 1,93 биткоина (около $875) за расшифровку с оплатой через сайт в сети Tor. Декриптор для этого зловреда пока не создан.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone