Összefoglaló
A Petya nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó merevlemezét titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A káros kód SPAM üzeneteken keresztül terjed, melyeket kifejezetten vállalati humánerőforrás e-mail címekre küldenek álláspályázatnak álcázva.
A levélben található dropbox link egy önkicsomagoló fájlra mutat, mely tartalmazza a káros kódot, és aktiválása után felülírja a master boot recordot (MBR), és a master file table-t (MFT). A trójai az MFT táblán található adatokat egy rövid kulccsal XOR-olja pl:(0x37) így a merevlemezen elérhetetlenné válik az összes állomány. Az MBR-t pedig egy saját kóddal írja felül, mely a számítógép elindulása után jelenik meg és a karakterekből álló halálfejet mutat, továbbá segítséget ad a felhasználónak a fájlok visszafejtéséhez, mely 1 bitcoin megfizetése ellenében érhető el. Az MBR felülírásával a számítógép nem indítható el csökkentett módban sem, és aktiválása után kékhalált okoz ezért elkerülhetetlen az újraindítás utáni programbetöltődés. A kártevőnek egy saját weboldala is van, mely tor hálózatról érhető el.
Aliasok:RANSOM_PETYA.A
SHA1:
- 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
- B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
- 755f2652638f87ab517c608a363c4aefb9dd6a5a
UPDATE – 2017.07.07:
Publikussá vált a Petya eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).
Megoldás
Készítsen offline biztonsági mentést.
Használjon naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.trendmicro.com
Egyéb referencia: www.helpnetsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: twitter.com
Egyéb referencia: twitter.com
Egyéb referencia: github.com
Egyéb referencia: www.bleepingcomputer.com
