Доктор Уеб разказа как да се предпазите от Petya Trojan

petya

Специалистите на Доктор Уеб изучават нов троянски кон за криптиране, наричан в медиите Petya, Petya.A, ExPetya, ExPetr и WannaCry-2. Това се казва в изявление. Въз основа на предварителен анализ на злонамерения софтуер, Доктор Уеб предоставя препоръки как да се избегне заразяване, казва какво да се направи, ако инфекцията вече е възникнала, и разкрива технически подробности за атаката.

„Криптиращият червей Trojan.Encoder.12544, който вдигна много шум, представлява сериозна заплаха за персоналните компютри, работещи с Microsoft Windows. Различни източници го наричат ​​модификация на троянския кон, известен като Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 има само известна прилика с него. Тази злонамерена програма проникна в информационните системи на редица държавни агенции, банки и търговски организации, а също така зарази компютрите на потребители в няколко държави.

Енкодерът контролира рестартирането си чрез файл, който записва в папка C:\Windows\. Този файл има име, което съвпада с името на троянския кон без разширение. Тъй като образецът на червея, разпространяван в момента от нападателите, се нарича perfc.dat, файлът, който му пречи да стартира отново, ще се казва C:\Windows\perfc.Въпреки това, след като нападателите променят оригиналното име на троянския кон, създаването на файл с име perfc без разширение в папката C:\Windows\ (както съветват някои антивирусни компании) вече няма да спаси компютъра от инфекция. Освен това троянският кон проверява за съществуването на файл само ако има достатъчно привилегии в операционната система за това.

След стартирането троянският кон създава привилегии за себе си,зарежда собствено копие в паметта и му прехвърля контрола. След това енкодерът презаписва собствения си файл на диска с нежелани данни и го изтрива. На първо място, Trojan.Encoder.12544 поврежда VBR (Volume Boot Record) на устройството C:, запълвайки първия сектор на диска с нежелани данни. След това рансъмуерът копира оригиналния запис за зареждане на Windows на друго място на диска, като преди това го е шифровал с помощта на алгоритъма XOR, и вместо това записва свой собствен. След това създава задача за рестартиране на компютъра и започва да криптира всички файлове, намерени на локални физически дискове с разширения .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu , .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vm c .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Троянският кон криптира файлове само на фиксирани компютърни дискове; данните на всеки диск се криптират в отделен поток. Криптирането се извършва с помощта на алгоритмите AES-128-CBC и за всеки диск се генерира отделен ключ (това е отличителна черта на троянския кон, която не е отбелязана от други изследователи). Този ключ е шифрован с помощта на алгоритъма RSA-2048 (други изследователи съобщават, че използват 800-битов ключ) и се съхранява в основната папка на шифрованото устройство във файл с име README.TXT. Шифрованите файлове не получават допълнително разширение.

След като създадената по-рано задача приключи, компютърът се рестартира и управлението се прехвърля към записа за зареждане на троянския кон. Тя демонстрира на екрана на заразен компютъртекст, който прилича на съобщение от стандартната помощна програма за проверка на дискове CHDISK.