Nowy ransomware Petya blokuje cały dysk, G DATA szuka lekarstwa
Pojawiło się nowe zagrożenie typu ransomware, które szyfruje dysk. W przeciwieństwie do innych złośliwych programów tego typu, zajmuje cały dysk, a nie tylko pojedyncze pliki, jak CryptoWall, TeslaCrypt czy Locky. Szkodnik został zbadany przez firmę G DATA i nazwany Petya.
Malware został zaprojektowany by atakować przede wszystkim firmy i został odkryty w Niemczech. Na komputery dostaje się przez dział zasobów ludzkich. W mailach wysłanych do ich pracowników znajdują się odnośniki do Dropboksa, gdzie rzekomo znajduje się résumé fikcyjnej osoby, ubiegającej się o pracę. Zadaniem osób rekrutujących jest przeglądanie takich plików, więc jest spora szansa, że plik zostanie pobrany i uruchomiony, mimo że pobrany plik ma rozszerzenie .EXE.
Po uruchomieniu tego programu komputer pokazuje „Niebieski Ekran Śmierci” i uruchamia się ponownie. Jednak zanim się włączy, ransomware zmienia Master Boot Record (MBR) w taki sposób, by kontrolować uruchamianie się komputera. Po tym nie zobaczymy Windowsa, ale informację o sprawdzaniu dysku przez CHKDSK. Tak naprawdę oczywiście nie sprawdza i nie naprawia stanu partycji, ale blokuje dostęp do zawartości dysku. Analitycy z G DATA przypuszczają, że pliki nie są szyfrowane, a jedynie dostęp do nich ze strony użytkownika jest blokowany.
Ransomware Petya verschlüsselt die Festplatte / Ransomware Petya encrypts hard drives
Po zakończeniu niewinnie wyglądającego sprawdzania partycji Petya pokazuje swoją prawdziwą twarz, a w zasadzie czaszkę.
Próba zrobienia czegokolwiek spowoduje wyświetlenie planszy z informacją o działaniu szkodnika i instrukcjami opłacenia okupu za pliki. Należy pobrać Tor Browser i udać się pod podany adres, gdzie znajduje się strona z dalszymi instrukcjami i cennikiem. Co tydzień cena jest podwojona. Na stronie przestępcy twierdzą, że pliki zostały zaszyfrowane wojskowym algorytmem i bez specjalnego klucza odzyskanie ich jest niemożliwe.
Antywirusy już są w stanie ochronić nas przed Petyą, czyli Win32.Trojan-Ransom.Petya.A. Odnośniki, które mogą do niego prowadzić, są blokowane przez programy zabezpieczające. Oczywiście by się chronić należy zwracać uwagę na to, jakie pliki pobieramy i otwieramy. Jeśli jednak dysk już padł ofiarą szkodnika, warto poczekać, aż specjaliści upewnią się, czy pliki są szyfrowane i czy można je w jakiś sposób odzyskać. Analitycy odradzają opłacanie okupu.
