Összefoglaló
A Ransomcrypt.AP (Petya/Mischa) nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A Petya ransomware frissített verziójában kijavították az előd hibáját, többé nincs feltétlenül szükség arra hogy rendszergazdai jogokkal fusson. A kártevőnek ahhoz továbbra is szüksége van admin jogosultságokra, hogy beírja magát a master boot rekordba, azonban ha ez nem sikerül, elhelyez egy második kártevőt ami jogosultságok nélkül titkosítja a számítógép állományait.
Az elhelyezett ransomware-t Mischa-nak nevezik, és úgy működik mint a többi ilyen kártevő. Átfésüli a meghajtókat, AES titkosítással felülírja a fájlokat, 4 karakteres kiterjesztést ad a módosított állományoknak, elhelyezi a titkosított visszafejtő kulcsot a számítógépen és körülbelül 2 Bitcoint kér annak feloldásához.
A Petya/Mischa kártevő kéretlen levelekkel együtt érkezik, álláshirdetésként álcázva magát, melyben egy link valamilyen felhőszolgáltatás címére mutat, ahol egy futtatható állomány van. Az állomány futásakor kéri a root jogosultságokat, ha ezt nem kapja meg aktiválódik a Micha kártevő.
UPDATE – 2017.07.07:
Publikussá vált a Mischa eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).
Megoldás
Használjon offline biztonsági mentést, és naprakész vírusírtó szoftvert.
Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com