Összefoglaló
A PetrWrap ransomware egy új Petya alapú zsaroló vírus.
Leírás
A C-ben írt és MS Visual Studioban fordított program több egy újabb variánsnál. Mivel a Petya-t használja a fájlok titkosítására, ami egy jól ismert ransomware, ezért a PetrWrap saját kriptográfiai rutint használ ennek elrejtésére. Ezt a folyamatot a készítők az OpenSSL-ből emelték át. Így a PetrWrap eléri, hogy az áldozat gépét lezárja és titkosítja az NTFS partíciókat. Mindenzt anélkül, hogy megjelenne a képernyőn a villogó koponya animáció, amiről a Petya ismert.
MD5:
17c25c8a7c141195ee887de905f33d7b – Trojan-Ransom.Win32.PetrWrap.b
UPDATE – 2017.06.27:
2017.06.27-én indult el a PetrWrap kampány, amely komoly károkat okozott Oroszországban, Ukrajnában és Európa több országában is. A kártevő a WannaCry-hoz hasonlóan az SMBv1 sérülékenységet (EternalBlue) használja ki, emellett e-mail-ben is terjed, ahol álláshirdetésre való jelentkezésnek álcázza magát. Az elemzések szerint a csatolmányként érkező XLS munkafüzet tartalmazza azt parancsot, amely letölti a zsarolóvírust a számítógépre.
A számítógép újraindítása után nem engedi bootolni a Windows-t, a saját bootloader-ét tölti be helyette, amely mutatja a titkosított fájlrendszer dekódolásához szükséges instrukciókat.
A dekódoláshoz $300 értéknek megfelelő bitcoin fizetőeszközt várnak váltságdíjként.
A fertőzés elkerülésének érdekében javasolt – amennyiben az még nem történt meg – a Windows SMB sérülékenységét befoltozó javítás telepítése, illetve az e-mail csatolmányokként érkező dokumentumokkal szembeni elővigyázatosság.
Megoldás
Készítsen offline biztonsági mentést. A visszafejtés nehézkes, mert erős titkosító algoritmust használ. A Kaspersky termékek képesek detektálni mint: Trojan-Ransom.Win32.PetrWrap és PDM:Trojan.Win32.Generic.
Támadás típusa
RansomwareHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securelist.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.symantec.com