PetrWrap zsaroló vírus

CH azonosító

CH-13924

Angol cím

PetrWrap ransomware

Felfedezés dátuma

2017.03.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A PetrWrap ransomware egy új Petya alapú zsaroló vírus.

Leírás

A C-ben írt és MS Visual Studioban fordított program több egy újabb variánsnál. Mivel a Petya-t használja a fájlok titkosítására, ami egy jól ismert ransomware, ezért a PetrWrap saját kriptográfiai rutint használ ennek elrejtésére. Ezt a folyamatot a készítők az OpenSSL-ből emelték át. Így a PetrWrap eléri, hogy az áldozat gépét lezárja és titkosítja az NTFS partíciókat. Mindenzt anélkül, hogy megjelenne a képernyőn a villogó koponya animáció, amiről a Petya ismert.

MD5:

17c25c8a7c141195ee887de905f33d7b – Trojan-Ransom.Win32.PetrWrap.b

UPDATE – 2017.06.27:
2017.06.27-én indult el a PetrWrap kampány, amely komoly károkat okozott Oroszországban, Ukrajnában és Európa több országában is. A kártevő a WannaCry-hoz hasonlóan az SMBv1 sérülékenységet (EternalBlue) használja ki, emellett e-mail-ben is terjed, ahol álláshirdetésre való jelentkezésnek álcázza magát. Az elemzések szerint a csatolmányként érkező XLS munkafüzet tartalmazza azt parancsot, amely letölti a zsarolóvírust a számítógépre. 

A számítógép újraindítása után nem engedi bootolni a Windows-t, a saját bootloader-ét tölti be helyette, amely mutatja a titkosított fájlrendszer dekódolásához szükséges instrukciókat.
A dekódoláshoz $300 értéknek megfelelő bitcoin fizetőeszközt várnak váltságdíjként.

A fertőzés elkerülésének érdekében javasolt  – amennyiben az még nem történt meg – a Windows SMB sérülékenységét befoltozó javítás telepítése, illetve az e-mail csatolmányokként érkező dokumentumokkal szembeni elővigyázatosság.

Megoldás

Készítsen offline biztonsági mentést. A visszafejtés nehézkes, mert erős titkosító algoritmust használ. A Kaspersky termékek képesek detektálni mint: Trojan-Ransom.Win32.PetrWrap és PDM:Trojan.Win32.Generic. 

Hivatkozások

Egyéb referencia: securelist.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.symantec.com