![](https://habrastorage.org/files/19b/09b/ded/19b09bded4cc4679b3f3ea0a1985ca9a.jpeg)
Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.
![](https://habrastorage.org/files/ab6/5c9/594/ab65c95943e44f42b0848bc04f806adc.png)
Рис. Значок дроппера Petya с нарисованным щитом UAC. (данные Malwarebytes)
После запуска дроппера в системе, Windows падает в BSOD, а после перезагрузки вымогатель отображает пользователю фальшивое окно стандартного инструмента Windows для работы с диском под названием chkdsk. В это время, Petya шифрует данные раздела.
![](https://habrastorage.org/files/5dd/da4/4e1/5ddda44e119642f0b17948736a7c87ce.png)
Рис. Фальшивое окно chkdsk после перезагрузки системы. (данные Malwarebytes)
После выполнения своих вредоносных функций, пользователь увидит следующий экран.
![](https://habrastorage.org/files/5f7/891/fd8/5f7891fd82744221a6ffb28b67fdeb69.png)
Рис. Вымогатель отображает экран пользователю. (данные Malwarebytes)
![](https://habrastorage.org/files/4c1/9a4/b72/4c19a4b7219542619a202cd9661304db.png)
Рис. Экран с требованием выкупа, который появляется после предыдущего. (данные Malwarebytes)
![](https://habrastorage.org/files/8cf/651/10a/8cf65110af484c2a859575706afdd52e.png)
Рис. Внешний вид веб-сайта, на котором можно оплатить выкуп (принадлежит анонимной сети TOR). (данные Malwarebytes)
Для реализации своих функций без участия Windows на самом раннем этапе загрузки, вымогатель использует свой bootstrap-код, который записывается вместо стандартного, а также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.
Демонстрация работы Petya.
Для защиты от вымогателя мы рекомендуем использовать антивирусное ПО, а также не переходить по ссылкам, полученным из недоверенных источников. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.
Комментарии (33)
Old_Chroft
03.04.2016 19:09+10Ссылка в посте на новость от 24 марта. На гиктаймсе было 30 марта. На хабре было упоминание 1 апреля. Надеюсь, в ESET защиту пишут быстрее, чем "новости"? :-)
Lertmind
03.04.2016 22:07+1Определять его они начали с 26 марта [Mar-26-2016, 10:10 CET (UTC/GMT +01:00)] http://www.virusradar.com/en/Win32_Diskcoder.Petya/detail, включён в это обновление Update 13237.
esetnod32
04.04.2016 16:59+1Первоначально вредоносная программа была добавлена в базу антивирусных сигнатур под именем Win32/Diskcoder.A, это произошло 24 марта 2016: http://www.virusradar.com/en/update/info/13230
26 Марта это обнаружение было переименовано в Win32/Diskcoder.Petya.A
http://www.virusradar.com/en/update/info/13237
Greendq
04.04.2016 12:20Там всё веселее — если послать им образец перед праздниками (послал как-то в первых числах мая), то в базу он попадает очень сильно не сразу (в моём случае попал после 12 мая). Имея подписку и бесплатную авиру дома — сделал вывод не в пользу нода. Хотя по сравнению с прожорливым касперским действительно шустрее.
gecube
03.04.2016 20:37-2Низкий уровень — обычно, классически подразумевается работа не секторами, а со служебной информацией жесткого диска. См. "форматирование на низком уровне". С другой стороны, конечно, считая то количество уровней абстракции, что есть сейчас, работа в обход с файловой системой на уровне секторов и с таблицей разметки разделов становится "низкоуровневой". Хотелось бы, чтобы терминология в статье была консистентной и соответствующей общепринятой.
DrPass
03.04.2016 22:23+5«Низкий уровень» в отношении жесткого диска — обычно, классически подразумевается работа как раз работа на уровне доступа к секторам. Работа со служебной информацией — это именно работа со служебной информацией, так оно и называется. А «форматирование на низком уровне» уже примерно четверть века как заводская/лабораторная технологическая операция, которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
MacIn
04.04.2016 08:04… уже примерно четверть века… которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
Может при условии наличия сервисной программы. Не знаю, как сегодня, но некоторое время назад (7 лет) эти программы еще предоставлялись.DrPass
04.04.2016 09:46+1Не может, никакой сервисной программой. Магнитная головка жесткого диска физически не в состоянии провести форматирование современного «блина», сервометки наносятся намного более сильным магнитным полем на специальном стенде. Сервисные программы были и есть, но они касаются диагностики, корректировки таблицы адаптивов, прошивки и т.д. Кроме того, для доступа к программно-аппаратным средствам диагностики подключаться как правило надо не через SATA, а искать на плате выходы диагностического интерфейса.
MacIn
05.04.2016 02:45Пишу по своему опыту — 7 лет назад (не современный диск, нет. Но выше говорилось о четверти века, это точно не так), обычный интерфейс, через сервисную программу производилось форматирование. Допускаю, что сам процесс форматирования был просто профанацией (хотя и шел очень долго), но опция в сервисной программе была.
DrPass
05.04.2016 12:37> Допускаю, что сам процесс форматирования был просто профанацией
Это скорее всего и было. Дело в том, что команда форматирования в АТА никуда не делась. Жесткий диск её просто проигнорирует, но если программа глуповатая, она будет честно проходить по всем трекам с этой командой.
Paul_Smith
03.04.2016 20:57+2"После выполнения своих вредоносных функций, пользователь увидит следующий экран"… Задумался, какие же вредоносные функции выполняет пользователь...
mickvav
03.04.2016 21:37-1xor? а сколько там длина ключа декодер уже написали?
pwrlnd
04.04.2016 01:42Называется читал статью по диагонали:
также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.
Толку от расшифровки загрузчика windows?
sweetbrick
03.04.2016 21:46Да, на неискушенного пользователя это действует для загрузки и запуска неизвестно чего и неизвестно от куда.
Рекомендация на все случаи жизни: не пей из лужицы, станешь.
MgmZog
03.04.2016 21:46+3По идее этот локер менее опасен чем обычные, которые шифруют файлы. Даже с зашифрованной MFT можно восстановить много данных по сигнатурам программами типа R-Studio.
И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.pwrlnd
04.04.2016 01:45По идее этот локер менее опасен чем обычные, которые шифруют файлы
Тем более этому локеру нужны права администратора, когда обычному шифровальщику достаточно доступа к файлам пользователя на запись.
qrck13
03.04.2016 21:47Если у пользователя все файлы синхронизированы с облаком, то такой тип вымогателя — менее опасен, т.к. достаточно все снести и переустановить систему, + OneDrive/Dropbox/etc.
А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).Lerg
03.04.2016 21:50В Google Drive тоже есть версионность, но не в курсе какие там лимиты.
qrck13
03.04.2016 21:56Нужно еще убедится, что версионность полноценная. Например в том-же OneDrive вроде как есть версионность для офисных документов. Но стоит поверх документа записать какой-нибудь мусор — доступ к старым версиям теряется (т.е. оригинал документа не восстановить никак).
Xaliuss
05.04.2016 13:52Onedrive поддерживает версионность, по крайней мере для документов office, что самое важное.
qrck13
05.04.2016 13:55Только работает она, эта версионность, криво, и от крипто-локеров не спасет, что важно.
В частности — если записать поверх файла мусор (или зашифрованную версию файла) — то доступ к версиям теряется, и уже не восстановить никак оригинальный документ. Я проверял. Можете сами проверить тоже.
Lerg
03.04.2016 21:48+2Раз система после шифрования не запускается, то это равносильно просто внезаптному выходу из строя жёсткого диска. Храните свои документы в Google Drive, Dropbox или другом облаке (можно даже своём или на флешке) и не будет у вас никаких проблем.
Geograph
04.04.2016 08:35А шифруются все диски или только системный?
Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?
roboter
04.04.2016 09:54восстанавливает ли вирус работу компьютера если заплатить? проводятся ли такие испытания? по идее вирусописатель может спалится как раз в момент оплаты.
Veliant
04.04.2016 10:25Функция расшифровки после ввода корректного ключа в коде присутствует. Вопрос лишь в том, высылают ли ключ.
DjOnline
04.04.2016 11:00Гораздо интересней как вымогается оплата, через bitcoin? Там же видно все транзакции, сколько уже сделали переводом этому вымогателю и на какую сумму?
w_bishop
05.04.2016 13:51Ну вот у меня есть свои предрассудки, я вообще не юзаю антивири, ну вот совсем, есть такое у меня, и UAC тоже на мин. Т.е. в таком варианте реальный способ только судорожно при вылете бсода вырубать комп, вытаскивать винт, подрубать его к другому компу (только не как загрузочный) делать резервы т.к. наверняка зашифровать еще Петя не успел. и все, форматить винт. И т.д.
AndreyUA
Кто-то прочитал книгу Е. Касперского «Компьютерные вирусы MS-DOS» и решил написать свой one half?
ertaquo
Офигительная книга, кстати. Читал ее в свое время как приключенческий роман :)