29.03.2016, 08:12
![[Obrazek: csm_petya_98d3b027ca.png]](https://blog.gdatasoftware.com/fileadmin/_processed_/csm_petya_98d3b027ca.png)
Krótka informacja z polskich źródeł...nielicznych do tej pory...na temat odkrytej przez badaczy z G DATA SecurityLabs nowej odmiany ransomware, którą nazwano Petya. Jego specyfika polega na tym, że nie szyfruje określonych rodzajów plików, ale modyfikuje sektor rozruchowy dysków MBR i tym samym blokuje dostęp do wszystkich zasobów łącznie z systemem oczywiście.
Cytat:Malware został zaprojektowany by atakować przede wszystkim firmy i został odkryty w Niemczech. Na komputery dostaje się przez dział zasobów ludzkich. W mailach wysłanych do ich pracowników znajdują się odnośniki do Dropboksa, gdzie rzekomo znajduje się résumé fikcyjnej osoby, ubiegającej się o pracę. Zadaniem osób rekrutujących jest przeglądanie takich plików, więc jest spora szansa, że plik zostanie pobrany i uruchomiony, mimo że pobrany plik ma rozszerzenie .EXE.
Po uruchomieniu tego programu komputer pokazuje „Niebieski Ekran Śmierci” i uruchamia się ponownie. Jednak zanim się włączy, ransomware zmienia Master Boot Record (MBR) w taki sposób, by kontrolować uruchamianie się komputera. Po tym nie zobaczymy Windowsa, ale informację o sprawdzaniu dysku przez CHKDSK. Tak naprawdę oczywiście nie sprawdza i nie naprawia stanu partycji, ale blokuje dostęp do zawartości dysku. Analitycy z G DATA przypuszczają, że pliki nie są szyfrowane, a jedynie dostęp do nich ze strony użytkownika jest blokowany.
Po zakończeniu niewinnie wyglądającego sprawdzania partycji Petya pokazuje swoją prawdziwą twarz, a w zasadzie czaszkę.
Źródło cytatu
[Aby zobaczyć linki, zarejestruj się tutaj]
![[Obrazek: csm_Petya-RansomSite_8ebf23a247.png]](https://blog.gdatasoftware.com/fileadmin/_processed_/csm_Petya-RansomSite_8ebf23a247.png)
Interesująca dyskusja na temat tego zagrożenia znajduje się na forum Malwaretips...tam też analiza tego szkodnika przedstawiona przez F. Wosara z Emsisoft. Ważna jest konkluzja na końcu postu
Cytat:There is also one other misconception you see people regurgitating repeatedly when it comes to this malware and that is the Mirror MFT. "Can't you just restore the MFT from the mirror MFT." That useless advise stems from the wrong belief that the Mirror MFT, which is an actual thing, contains a copy of all MFT records. That is blatantly wrong though. The Mirror MFT only contains the records of the first 4 MFT entries, which are for the MFT ($Mft) itself, the Mirror MFT ($MftMirr), the NTFS log file ($LogFile) and the volume information ($Volume). So the Mirror MFT is completely useless when dealing with this particular malware.
[Aby zobaczyć linki, zarejestruj się tutaj]
Obrazki pochodzą z oryginalnego komunikatu G DATA SecurityLabs
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"