Доктор Веб» розповів, як захиститися від трояна Petya

захиститися

Фахівці компанії «Доктор Веб» вивчають новий троянець-шифрувальник, згадуваний у ЗМІ як Petya, Petya.A, ExPetya, ExPetr та WannaCry-2. Про це йдеться у повідомленні компанії. На підставі попереднього аналізу шкідливої ​​програми компанія «Доктор Веб» надає рекомендації, як уникнути зараження, розповідає, що робити, якщо зараження вже відбулося, і розкриває технічні подробиці атаки.

«Червь-шифрувальник Trojan.Encoder.12544, який наробив багато шуму, становить серйозну небезпеку для персональних комп'ютерів, що працюють під керуванням Microsoft Windows. Різні джерела називають його модифікацією троянця, відомого під ім'ям Petya (Trojan.Ransom.369), але Trojan.Encoder.12544 має з ним лише деяку схожість. Ця шкідлива програма проникла в інформаційні системи цілої низки держструктур, банків та комерційних організацій, а також заразила ПК користувачів у кількох країнах.

Контроль свого повторного запуску енкодер здійснює за допомогою файлу, який він зберігає в папці C:\Windows\. Цей файл має ім'я, яке відповідає імені троянця без розширення. Оскільки розповсюджуваний зловмисниками зараз зразок черв'яка має ім'я perfc.dat, то файл, що запобігає його повторному запуску, матиме ім'я C:\Windows\perfc.Проте варто зловмисникам змінити вихідне ім'я троянця, і створення в папці C:\Windows\ файлу з ім'ям perfc без розширення (як радять деякі антивірусні компанії) вже не врятує комп'ютер від зараження. Крім того, троянець здійснює перевірку наявності файлу, тільки якщо у нього достатньо для цього привілеїв в операційній системі.

Після старту троянець налаштовує для себе привілеї,завантажує власну копію на згадку і передає їй управління. Потім енкодер перезаписує власний файл на диску сміттєвими даними та видаляє його. В першу чергу Trojan.Encoder.12544 псує VBR (Volume Boot Record, завантажувальний запис розділу) диска C: перший сектор диска заповнюється сміттєвими даними. Потім шифрувальник копіює оригінальний завантажувальний запис Windows в іншу ділянку диска, попередньо зашифрувавши її з використанням алгоритму XOR, а замість неї записує свій. Далі він створює завдання на перезавантаження комп'ютера, і починає шифрувати всі виявлені на локальних фізичних дисках файли з розширеннями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx . pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Тріянець шифрує файли тільки на фіксованих дисках комп'ютера, дані на кожному диску шифруються в окремому потоці. Шифрування здійснюється з використанням алгоритмів AES-128-CBC, для кожного диска створюється власний ключ (це відмінна риса троянця, не відзначена іншими дослідниками). Цей ключ шифрується з використанням алгоритму RSA-2048 (інші дослідники повідомляли, що використовується 800-бітний ключ) і зберігається в кореневу папку диска зашифрованого у файл з ім'ям README.TXT. Зашифровані файли не одержують додаткового розширення.

Після виконання створеного завдання комп'ютер перезавантажується, і управління передається троянської завантажувальної записи. Вона демонструє на екрані зараженого комп'ютератекст, що нагадує повідомлення стандартної утиліти для перевірки дисків CHDISK.