Petya trójai

CH azonosító

CH-13138

Angol cím

Petya trojan

Felfedezés dátuma

2016.03.25.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Petya  nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó merevlemezét titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A káros kód SPAM üzeneteken keresztül terjed, melyeket kifejezetten vállalati humánerőforrás e-mail címekre küldenek álláspályázatnak álcázva.

A levélben található dropbox link egy önkicsomagoló fájlra mutat, mely tartalmazza a káros kódot, és aktiválása után felülírja a master boot recordot (MBR), és a master file table-t (MFT). A trójai az MFT táblán található adatokat egy rövid kulccsal XOR-olja pl:(0x37) így a merevlemezen elérhetetlenné válik az összes állomány. Az MBR-t pedig egy saját kóddal írja felül, mely a számítógép elindulása után jelenik meg és a karakterekből álló halálfejet mutat, továbbá segítséget ad a felhasználónak a fájlok visszafejtéséhez, mely 1 bitcoin megfizetése ellenében érhető el. Az MBR felülírásával a számítógép nem indítható el csökkentett módban sem, és aktiválása után kékhalált okoz ezért elkerülhetetlen az újraindítás utáni programbetöltődés. A kártevőnek egy saját weboldala is van, mely tor hálózatról érhető el.

Aliasok:RANSOM_PETYA.A

SHA1:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

 

UPDATE – 2017.07.07:

Publikussá vált a Petya eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).

Megoldás

Készítsen offline biztonsági mentést.

Használjon naprakész vírusírtó szoftvert.

Hivatkozások

Egyéb referencia: blog.trendmicro.com
Egyéb referencia: www.helpnetsecurity.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: twitter.com
Egyéb referencia: twitter.com
Egyéb referencia: github.com
Egyéb referencia: www.bleepingcomputer.com