Összefoglaló
A Ransomcrypt.AP (Petya/Mischa) nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A Petya ransomware frissített verziójában kijavították az előd hibáját, többé nincs feltétlenül szükség arra hogy rendszergazdai jogokkal fusson. A kártevőnek ahhoz továbbra is szüksége van admin jogosultságokra, hogy beírja magát a master boot rekordba, azonban ha ez nem sikerül, elhelyez egy második kártevőt ami jogosultságok nélkül titkosítja a számítógép állományait.
Az elhelyezett ransomware-t Mischa-nak nevezik, és úgy működik mint a többi ilyen kártevő. Átfésüli a meghajtókat, AES titkosítással felülírja a fájlokat, 4 karakteres kiterjesztést ad a módosított állományoknak, elhelyezi a titkosított visszafejtő kulcsot a számítógépen és körülbelül 2 Bitcoint kér annak feloldásához.
A Petya/Mischa kártevő kéretlen levelekkel együtt érkezik, álláshirdetésként álcázva magát, melyben egy link valamilyen felhőszolgáltatás címére mutat, ahol egy futtatható állomány van. Az állomány futásakor kéri a root jogosultságokat, ha ezt nem kapja meg aktiválódik a Micha kártevő.
UPDATE – 2017.07.07:
Publikussá vált a Mischa eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).
Megoldás
Használjon offline biztonsági mentést, és naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com
