Шифровальщик Petya объединился с вымогателем Mischa

Александр Панасенко 16 Мая 2016 - 12:29

Общее

Вредоносные программы

Трояны

Вирусы-вымогатели

Вирусы-шифровальщики

...

Разработчики вредоносного ПО, по всей видимости, решили, что два вымогателя лучше, чем один и оптимизировали механизм доставки своей малвари. Теперь шифровальщик Petya поставляется «в комплекте» с аналогичным зловредом Mischa, который вступает в игру, если Petya потерпел фиаско.

Криповымогатель Petya известен с марта 2016 года. От общей массы шифровальщиков его отличает то, что Petya полностью лишает пользователя доступа к жесткому диску. Дело в том, что Petya проникает в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table, или главную таблицу файлов.

В апреле 2016 года исследователь, известный под псевдонимом Лео Стоун (Leo Stone) предложил методикудешифровки файлов, пострадавших в ходе атак Petya. Судя по отзывам пострадавших, способ Стоуна действительно работал. Что, очевидно, и побудило автора малвари создать улучшенную версию.

Специалисты MalwareHunterTeam обнаружили, что теперь установщик Petya поставляется со вторым, резервным шифровальщиком в комплекте, который получил имя Mischa. Исследователи BleepingComputer, в свою очередь,выяснили, что Petya по-прежнему нужны привилегии администратора в системе. То есть если жертва отказывается выдать вредоносу права: он бессилен. Именно на такой случай и нужен Mischa. Второму вымогателю не требуются права администратора, он и без них зашифрует файлы по классической схеме, используя алгоритм AES, но не затрагивая MBR, пишет xakep.ru.

Пара шифровальщиков Petya и Mischa распространяется преимущественно через фишинговые письма, замаскированные под заявки о поступлении на работу. Такие сообщения якобы содержат ссылку на резюме соискателя, которое на самом деле оказывается файлом вида PDFBewerbungsmappe.exe. Когда жертва запускает такой файл, начнется установка Petya, и появится запрос прав администратора. Если установить Petya не удалось, сработает Mischa. Демонстрацию процесса заражения можно увидеть на видео ниже.

Mischa шифрует не только стандартные типы файлов (изображения, документы и так далее), но также файлы .exe. Вымогатель не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

На сегодня злоумышленники требуют от своих жертв выкуп в размере 1,93 биткоина (порядка $875 по текущему курсу).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 14 Августа 2025 - 16:44

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи ГК «Солар»

Перед 1 сентября телефонные и онлайн-мошенники используют школьную тему

С приближением 1 сентября мошенники активизировались и начали использовать «школьную» тему, чтобы выманить деньги и данные у доверчивых людей. Эксперты Solar AURA из ГК «Солар» предупреждают: злоумышленники готовы цепляться за любой информационный повод, и подготовка детей к учебному году — не исключение.

Схемы могут быть разными. Например, звонок «от завуча» или «председателя родительского комитета» с просьбой пройти по ссылке и заполнить данные — банковские реквизиты, логин Telegram или код из СМС.

Другой вариант — фейковый интернет-магазин, предлагающий школьную форму или канцтовары с огромной скидкой. Заплатите — и продавец исчезнет вместе с вашими деньгами.

«Это означает, что пользователям могут позвонить от имени завуча, а могут от председателя родительского комитета, после чего попросить пройти по фишинговой ссылке и оставить свои персональные данные (данные банковской карты, аккаунта в Telegram и других порталов), либо назвать код из смс, дающий доступ к различным онлайн-сервисам», — рассказал Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар».

Чтобы не попасться на удочку, специалисты советуют: