Спецове по сигурността съобщиха за първия вирус изнудвач, който криптира съдържанието на целия твърд диск, а не само на отделни файлове.
Новият опасен софтуер, открит от компанията G Data, се нарича Петя (Pеtya) и в червеното му лого има сърп и чук. Чрез него киберпрестъпниците атакуват търговски организации основно в немскоговорящите страни.
Вирусът прониква в компютъра чрез линк в електронната поща, който води към EXE файл в облака Dropbox (application_portfolio-packed.exe), маскиран като информация за работа и насочен към отделите по човешки ресурси. Когато потребителят стартира този файл, компютърът влиза в „синия екран на смъртта”, след което се рестартира.
При зареждането се създава впечатление, че компютърът изпълнява помощната програма CHKDSK, която проверява за грешки по диска. Потребителят вижда предупреждение, че процесът на проверка може да отнеме няколко часа, като през това време не бива да изключва компютъра, за да не бъдат унищожени данните.
В действителност обаче Петя модифицира зареждащия сектор на диска – Master Boot Record (MBR), за да може впоследствие да управлява процеса на зареждане. След това РС-то наистина се презарежда, но вместо CHKDSK вирусът изпълнява своята злокобна мисия – за няколко часа криптира всички данни на диска.
След завършване на процеса, екранният фон се оцветява в червено, появява се изображение на череп и потребителят разбира, че е станал жертва на вируса Петя.
Всички данни на диска са криптирани по военен алгоритъм и за да получи достъп до тях, потребителят трябва да изпълни три прости стъпки: да свали браузъра Tor, да последва посочения линк и да плати за декодиращия ключ. Вирусът дава срок от седем дни за изпълнение на стъпките, след което обещава да удвои сумата за откуп.
Според специалистите, Tor Browser е избран от атакуващите, за да могат да маскират собствените си данни. Както е известно, мрежата Tor позволява напълно да бъдат скрити самоличността и местонахождението на потребителите.
G Data предупреждава засегнатите потребители да не предоставят никакви данни и да не плащат на кибер измамниците, тъй като не е ясно дали информацията от диска ще бъде възстановена. Също така инфектираните машини следва незабавно да бъдат откачени от мрежата, за да не заразят и други компютри.
8 коментара
Кой стартира екзета от Дропбокс с неясен произход?
В офиса ни се заразиха с криптиращ вирус всички компютри /бяха в мрежа/ Загубихме файловете за една година работа. Преинсталирахме Windows на всички, правим архиви, но късно е чадо. Загубата си е загуба
Aлбанския вирос напредва
Koga da ochakvame Petq i Valka? 🙂
Стига с тия глупави вируси!
Трябва да си с много ниски познания, с много ниска дигитална култура за да се вържеш.
Цитираните вируси – епоха! Са нищо по-различно от:
– да си премяташ тройно нож в ръката с очакването винаги да го хванеш за дръжката
– да си играеш със зареден пистолет.
– да пресичаш на червено.
– да вярваш на политици…
И още много и много…
Е как така съветват да не плащаш пари, защото не е ясно дали ще си видиш данните? Ако не платиш със сигурност няма да ги видиш. А и хакерите си имат принципи. Като си платил, ще ти дадат ключа.
курвенска работа….
Много поздрави от Путя.