Összefoglaló
A Petya nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó merevlemezét titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A káros kód SPAM üzeneteken keresztül terjed, melyeket kifejezetten vállalati humánerőforrás e-mail címekre küldenek álláspályázatnak álcázva.
A levélben található dropbox link egy önkicsomagoló fájlra mutat, mely tartalmazza a káros kódot, és aktiválása után felülírja a master boot recordot (MBR), és a master file table-t (MFT). A trójai az MFT táblán található adatokat egy rövid kulccsal XOR-olja pl:(0x37) így a merevlemezen elérhetetlenné válik az összes állomány. Az MBR-t pedig egy saját kóddal írja felül, mely a számítógép elindulása után jelenik meg és a karakterekből álló halálfejet mutat, továbbá segítséget ad a felhasználónak a fájlok visszafejtéséhez, mely 1 bitcoin megfizetése ellenében érhető el. Az MBR felülírásával a számítógép nem indítható el csökkentett módban sem, és aktiválása után kékhalált okoz ezért elkerülhetetlen az újraindítás utáni programbetöltődés. A kártevőnek egy saját weboldala is van, mely tor hálózatról érhető el.
Aliasok:RANSOM_PETYA.A
SHA1:
- 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
- B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
- 755f2652638f87ab517c608a363c4aefb9dd6a5a
UPDATE – 2017.07.07:
Publikussá vált a Petya eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).
Megoldás
Készítsen offline biztonsági mentést.
Használjon naprakész vírusírtó szoftvert.
Hivatkozások
Egyéb referencia: blog.trendmicro.com
Egyéb referencia: www.helpnetsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: twitter.com
Egyéb referencia: twitter.com
Egyéb referencia: github.com
Egyéb referencia: www.bleepingcomputer.com