Trojan.Cryptolocker.AP (Petya/Mischa)

CH azonosító

CH-13241

Angol cím

Trojan.Cryptolocker.AP

Felfedezés dátuma

2016.05.15.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AP (Petya/Mischa) nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A Petya ransomware frissített verziójában kijavították az előd hibáját, többé nincs feltétlenül szükség arra hogy rendszergazdai jogokkal fusson. A kártevőnek ahhoz továbbra is szüksége van admin jogosultságokra, hogy beírja magát a master boot rekordba, azonban ha ez nem sikerül, elhelyez egy második kártevőt ami jogosultságok nélkül titkosítja a számítógép állományait.

Az elhelyezett ransomware-t Mischa-nak nevezik, és úgy működik mint a többi ilyen kártevő. Átfésüli a meghajtókat, AES titkosítással felülírja a fájlokat, 4 karakteres kiterjesztést ad a módosított állományoknak, elhelyezi a titkosított visszafejtő kulcsot a számítógépen és körülbelül 2 Bitcoint kér annak feloldásához.

A Petya/Mischa kártevő kéretlen levelekkel együtt érkezik, álláshirdetésként álcázva magát, melyben egy link valamilyen felhőszolgáltatás címére mutat, ahol egy futtatható állomány van. Az állomány futásakor kéri a root jogosultságokat, ha ezt nem kapja meg aktiválódik a Micha kártevő.

 

UPDATE – 2017.07.07:

Publikussá vált a Mischa eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).

Megoldás

Használjon offline biztonsági mentést, és naprakész vírusírtó szoftvert.

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com