Шифровальщик Petya

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 1K
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya
Как уже было сказано выше, шифровальщик Petya
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».


Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Petya образца 2016 года
Специалисты компаний
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
и так далее подтвердили, что для распространения шифровальщик использует уязвимости протокола SMB и эксплоит, похожий на инструмент ETERNALBLUE, похищенный у АНБ и
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
хакерской группой The Shadow Brokers. Аналитики «Лаборатории Касперского» также
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, что авторы вредоноса взяли на вооружение еще один инструмент, украденный у спецслужб, эксплоит ETERNALROMANCE.

Также сообщается, что вымогатель
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199 в Office RTF.

Новая версия Petya шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Эксперты Positive Technologies, которые тоже представили анализ шифровальщика, пишут, что после запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа. За это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и работоспособности ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы при этом не удастся.

Petya генерирует для каждого диска свой ключ AES-128, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA-2048 и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, то есть без знания ключа данные восстановить невозможно.

Исследователи сообщают, что вымогатель, предположительно, шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности.

Также специалисты предупреждают, что шифровальщик использует переработанный опенсорсный инструмент
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
для извлечения учетных данных с зараженных машин. С их помощью малварь распространяется внутри сетей посредством SMB, WMI и PSEXEC, то есть даже одной скомпрометированной машины во всей сети будет достаточно для дальнейшего распространения угрозы. Однако для использования данных инструментов вредоносу необходимо обладать привилегиями администратора на компьютере жертвы.

Операторы малвари требуют от своих жертв выкуп в размере 300 долларов в биткоин эквиваленте. После оплаты нужно отправить письмо на адрес [email protected], чтобы получить инструкции по расшифровке данных.

В настоящее время платить выкуп попросту бесполезно, так как адрес [email protected], по которому нужно связываться с операторами малвари,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
администрацией Posteo еще вчера.

Petya или NotPetya?
Все чаще можно видеть, что ИБ-специалисты и СМИ называют шифровальщика не Petya, а NotPetya, SortaPetya и даже Petna. Дело в том, что изучив угрозу более детально, специалисты пришли к выводу, что в новом шифровальщике осталось не так уж много от оригинального Petya.

Новый вредонос определенно был построен на основе исходных кодов того самого «Пети», однако новая версия малвари настолько отличается от оригинала, что многие сочли логичным присвоить ей новое название.

При этом специалисты расходятся во мнениях относительно предназначения и авторства нового шифровальщика. Так, специалист Malwarebytes
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, что новый шифровальщик, скорее всего, был создан теми же людьми, которые написали вымогателей Petya, Mischa и GoldenEye. Просто это новая ступень их «эволюции».

ИБ-специалист, известный под псевдонимом The Grugq, напротив
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, что новая вариация Petya – это не обычный вымогатель, а «детище» правительственных хакеров.
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Ну и заразились ток те кто не обновился))
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
и те кто не отключили протокол
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Я один хочу увидеть эту малварь у себя на компе?Или я настолько ничтожный,что хакеры даже не видят смысла спамить мне на почту?:eek::eek::eek:
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Не,ну просто когда ты сидишь в интернете 24/7 и ничего не происходит,то как тогда люди могут подцепить это?
Флешки, заражают один компьютер, а он передает по сети внутренней, а тем более большинство сейчас работает только в интернете
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Кажется это все политика в этом виновата, что бы нам руки обрезать...
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя