Вдень 27 червня в Україні та в інших країнах світу почав поширюватися вірус-вимагач, який блокує доступ до даних і вимагає 300 доларів у біткоінах за розблокування. Вірус у різних модифікаціях відомий ще з 2016 року. Поширюється він, як і багато інших шкідливих програм, через спам-лист: наприклад, перші версії Petya маскувалися під резюме. Схема роботи Petya вже була докладно описана фахівцями з комп’ютерної безпеки.
Найбільш докладно механізм роботи вірусів-вимагачів був
описаний ще в квітні 2016 року в блозі компанії Malwarebytes Labs. Тоді вірус поширювався як лист з резюме співробітника: при натисканні на нього відкривалася Windows-програма, яка вимагала прав адміністратора. Якщо неуважний користувач погоджувався, то програма-установник переписувала дані з жорсткого диска і показувала "синій екран смерті": повідомлення про збій, що пропонує перезавантажити комп’ютер.
На цій стадії, як пишуть дослідники, жорсткий диск ще не зашифрований, і дані можна врятувати – наприклад, якщо вимкнути комп’ютер і підключити жорсткий диск до іншого, але не завантажуватися з нього. У цій ситуації всі дані можна буде скопіювати.
Після перезавантаження Petya запускає програму, що маскується під утиліту CHKDSK. Насправді вона не перевіряє жорсткий диск на предмет помилок, а шифрує його, причому, як встановили дослідники з Malwarebytes Labs, не цілком, а лише частково. У "Лабораторії Касперського" в кінці березня 2016 року
стверджували, що метод шифрування, який застосовується в Petya, дозволяє за допомогою фахівців відновити всі дані.
Після завершення шифрування комп’ютер показує червоний екран з повідомленням "Ви стали жертвою вірусу Petya" і пропозицією заплатити 300 доларів в біткоінах. Детальна інструкція, як купити необхідну суму в біткоінах і як її перерахувати, містилася на сайті в "дарквебі".
Судячи зі скриншотів сучасної версії Petya, тепер ніякого сайту і докладної інструкції немає: користувачам пропонується написати на вказану поштову адресу і в обмін на доказ перерахування коштів отримати код для розшифровки жорсткого диска.
Дослідники відзначають, що частина Petya, яка відповідає за блокування доступу, перехоплює управління комп’ютером на ранньому етапі завантаження. Вона написана висококваліфікованими програмістами.
З початку 2016 року Petya неодноразово видозмінювався. Існують версії з жовтим оформленням екрану з вимогою викупу, існують і такі, де назва вірусу не вказується.
Як саме працює і поширюється та версія Petya, з якою зіткнулися користувачі 27 червня, поки не повідомляється. Судячи з масштабу зараження, вірус доопрацьований і має якусь складнішу систему поширення. На Github вже
з’явилося посилання на один з біткоін-гаманців, який збирає гроші з заражених вірусом комп’ютерів.
Найпростіший метод захисту від Petya та аналогічних вірусів-вимагачів – не клікати на вкладення у підозрілих листах від людей, яких ви не знаєте.
(
via)
Якщо ви помітили помилку чи неточність, виділіть фрагмент тексту та натисніть Ctrl+Enter.
