Malvér Petya, ktorý sa nedávno rozšíril po svete, nie je ransomvér, ale nebezpečný wiper

Malvér Petya, ktorý sa nedávno rozšíril po svete, nie je ransomvér, ale nebezpečný wiper

Škodlivý kód Petya, ktorý v utorok začal infikovať počítače v niekoľkých krajinách vrátane Ruska, Ukrajiny, Francúzska, Indie a Spojených štátov amerických a požaduje výkupné 300 dolárov, v skutočnosti nie je klasický ransomvér. Podľa novej analýzy bol vírus navrhnutý tak, aby iba vyzeral ako ransomvér, ide však o škodlivý softvér typu wiper, ktorý úplne zničí dáta v cieľových systémoch. Tie potom vôbec nemožno dešifrovať. S týmto zistením prišiel Matt Suiche, zakladateľ firmy Comae Technologies,  a jeho tím.

Bezpečnostní výskumníci sa domnievajú, že rozšírenie vírusu do mnohých krajín bol len zastierací manéver a v skutočnosti išlo o štátom podporovaný útok na Ukrajinu.

„Veríme, že ransomvér bol v skutočnosti iba vábnička na odlákanie médií, najmä po udalosti WannaCry, aby pritiahol pozornosť na niektorú tajomnú hackerskú skupinu, a nie na štátneho útočníka,“ píše Suiche.

Petya je nepríjemný malvér, ktorý na rozdiel od tradičného ransomvéru nezašifruje súbory na cieľovom počítači jeden po druhom. Namiesto toho reštartuje počítač obete a zašifruje hlavnú tabuľku súborov (MFT) a hlavný spúšťací záznam (MBR – master boot record) urobí neúčinným. Zabraňuje tak prístupu k systému tým, že zadrží informácie o názvoch súborov, ich veľkostiach a umiestnení. Potom zašifrovanú kópiu MBR nahradí vlastným kódom, ktorý zobrazí bankovku výkupného, pričom počítače už nedokážu spustiť systém.

Nový variant Petya však neuchováva kópiu nahradeného MBR (či už omylom, alebo zámerne), takže infikované počítače zostanú nespustiteľné, aj keď obete dostanú dešifrovacie kľúče. Po infikovaní jedného počítača Petya rýchlo preskenuje lokálnu sieť a rýchlo sa rozšíri aj na ostatné počítače v nej (dokonca aj na tie úplne aktualizované) pomocou nástrojov EternalBlue SMB exploit, WMIC a PSEXEC.

Je teda zbytočné platiť výkupné, pretože súbory sa už nedajú vrátiť. Navyše e-mailovú adresu, ktorú chceli útočníci používať na komunikáciu s obeťami a odosielanie dešifrovacích kľúčov, krátko po útoku nemecký poskytovateľ zablokoval.

Zdroj: Thehackernews

Podobné články