Обнаружен новый вариант вымогателя Petya, получивший имя Goldeneye

Олег Иванов 08 Декабря 2016 - 16:05

Домашние пользователи

...

Недавно исследователи в области безопасности обнаружили новый вариант вымогателя Petya, он получил название Goldeneye. Эксперты утверждают, что между новым вариантом и оригиналом практически нет никаких различий.

Первоначально Petya был обнаружен в марте этого года и стал известен благодаря тому, что модифицировал главную загрузочную запись MBR (Master Boot Record). Несколько месяцев спустя авторы этого вымогателя решили распространять его в связке с другим – Mischa, его задачей было завершить процесс шифрования, если Petya это не удалось.

В настоящее время вымогатель распространяется через спам-письма, темой которых является резюме, таким образом, целью злоумышленников являются корпоративные пользователи. По словам BleepingComputer, обычно в таких письмах встречаются два вложения, первым из которых является поддельное резюме, а вторым электронная таблица Excel, содержащая вредоносные макросы, с помощью которых и устанавливается вредоносная программа на компьютер.

Как только пользователь включает макросы, в папку temp сохраняется исполняемый файл, который затем запускается на выполнение и шифрует файлы. Отличие новой версии Goldeneye от старых в том, что после завершения процесса шифрования вредонос пытается изменить MBR, старые версии сначала меняли MBR, а потом принимались за шифрование данных.

Goldeneye добавляет к зашифрованным файлам произвольное расширение из 8 символов, а затем меняет MBR. Как только все действия шифровальщика завершены, пользователю отображается записка с требованиями, однако это происходит в течение короткого промежутка времени, так как затем перезагружает компьютер для шифрования главной файловой таблицы (MFT) жесткого диска.

Сама записка с требованиями претерпела незначительные изменения – цвет текста изменился на желтый (в прошлых версиях был красный и зеленый), об этом говорят в Avira. Goldeneye требует 1000$ за расшифровку данных.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Читайте также

Обзоры

Обзор средств двухфакторной аутентификации Gemalto

25 Октября 2018

Практика

Как защитить КИИ в соответствии с 187-ФЗ

18 Октября 2018

Продажи DeviceLock DLP в Германии растут несмотря на санкции

Олег Иванов 12 Ноября 2018 - 16:20

DeviceLock DLP Suite Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Продажи DeviceLock DLP в Германии растут несмотря на санкции

Продажи российской системы борьбы с утечками данных (Data Leak Prevention, DLP) DeviceLock DLP на территории Германии выросли на 25% за 9 месяцев этого года относительно того же периода 2017 года. В результате Германия стала третьим по размеру рынком для DeviceLock после России и Японии. Основными покупателями DeviceLock DLP на немецком рынке являются банки, органы внутренних дел, ретейлеры, фармацевтические компании и автопроизводители.

В компании отмечают, что спрос на DLP-системы в ЕС последовательно растет все последние годы и этот рост продолжился и в этом году, несмотря на кризис в отношениях между странами. Драйвером роста по мнению основателя и технического директора DeviceLock Ашота Оганесяна является постоянное увеличение количества утечек, допускаемых сотрудниками на фоне ужесточения законодательства в отношении персональных данных и защиты частной жизни сотрудников.

По данным исследования DeviceLock, в 2018 году более 50% утечек корпоративных данных в России происходило по вине инсайдеров, а не хакеров. Наименее защищена сфера обслуживания, где потери данных носят повсеместный характер, так как большинство компаний, работающих в этом сегменте, относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для их защиты. Аналогичная ситуация складывается и в Европе.

«DLP-система при жестком европейском законодательстве – идеальный выбор. Робот, сверяющий действия сотрудников с набором правил, не может нарушить, например, тайну переписки, потому что он не человек. А сигнал тревоги уже содержит доказательства правонарушения», — отметил Ашот Оганесян.

«Много говорят, что после осложнения отношений российские IT-продукты перестали покупать в Европе, но это не так. И хороший пример – то, как немецкие клиенты выбирают среди DLP-систем. Кроме адекватной цены, они требуют от системы максимальной функциональности и наличия локальной немецкой поддержки. Обращают внимание и на репутацию компании-производителя. По всем этим критериям и выбирают DeviceLock DLP, а его российское происхождение играет минимальную роль. Например, в этом году году один из крупнейших немецких автоконцернов заменил конкурирующее решение на DeviceLock DLP», — добавил он.