Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.
Рис. Значок дроппера Petya с нарисованным щитом UAC. (данные Malwarebytes)
После запуска дроппера в системе, Windows падает в BSOD, а после перезагрузки вымогатель отображает пользователю фальшивое окно стандартного инструмента Windows для работы с диском под названием chkdsk. В это время, Petya шифрует данные раздела.
Рис. Фальшивое окно chkdsk после перезагрузки системы. (данные Malwarebytes)
После выполнения своих вредоносных функций, пользователь увидит следующий экран.
Рис. Вымогатель отображает экран пользователю. (данные Malwarebytes)
Рис. Экран с требованием выкупа, который появляется после предыдущего. (данные Malwarebytes)
Рис. Внешний вид веб-сайта, на котором можно оплатить выкуп (принадлежит анонимной сети TOR). (данные Malwarebytes)
Для реализации своих функций без участия Windows на самом раннем этапе загрузки, вымогатель использует свой bootstrap-код, который записывается вместо стандартного, а также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.
Демонстрация работы Petya.
Для защиты от вымогателя мы рекомендуем использовать антивирусное ПО, а также не переходить по ссылкам, полученным из недоверенных источников. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.
Комментарии (33)
Old_Chroft
03.04.2016 19:09+10Ссылка в посте на новость от 24 марта. На гиктаймсе было 30 марта. На хабре было упоминание 1 апреля. Надеюсь, в ESET защиту пишут быстрее, чем "новости"? :-)
Lertmind
03.04.2016 22:07+1Определять его они начали с 26 марта [Mar-26-2016, 10:10 CET (UTC/GMT +01:00)] http://www.virusradar.com/en/Win32_Diskcoder.Petya/detail, включён в это обновление Update 13237.
esetnod32
04.04.2016 16:59+1Первоначально вредоносная программа была добавлена в базу антивирусных сигнатур под именем Win32/Diskcoder.A, это произошло 24 марта 2016: http://www.virusradar.com/en/update/info/13230
26 Марта это обнаружение было переименовано в Win32/Diskcoder.Petya.A
http://www.virusradar.com/en/update/info/13237
Greendq
04.04.2016 12:20Там всё веселее — если послать им образец перед праздниками (послал как-то в первых числах мая), то в базу он попадает очень сильно не сразу (в моём случае попал после 12 мая). Имея подписку и бесплатную авиру дома — сделал вывод не в пользу нода. Хотя по сравнению с прожорливым касперским действительно шустрее.
gecube
03.04.2016 20:37-2Низкий уровень — обычно, классически подразумевается работа не секторами, а со служебной информацией жесткого диска. См. "форматирование на низком уровне". С другой стороны, конечно, считая то количество уровней абстракции, что есть сейчас, работа в обход с файловой системой на уровне секторов и с таблицей разметки разделов становится "низкоуровневой". Хотелось бы, чтобы терминология в статье была консистентной и соответствующей общепринятой.
DrPass
03.04.2016 22:23+5«Низкий уровень» в отношении жесткого диска — обычно, классически подразумевается работа как раз работа на уровне доступа к секторам. Работа со служебной информацией — это именно работа со служебной информацией, так оно и называется. А «форматирование на низком уровне» уже примерно четверть века как заводская/лабораторная технологическая операция, которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
MacIn
04.04.2016 08:04… уже примерно четверть века… которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
Может при условии наличия сервисной программы. Не знаю, как сегодня, но некоторое время назад (7 лет) эти программы еще предоставлялись.DrPass
04.04.2016 09:46+1Не может, никакой сервисной программой. Магнитная головка жесткого диска физически не в состоянии провести форматирование современного «блина», сервометки наносятся намного более сильным магнитным полем на специальном стенде. Сервисные программы были и есть, но они касаются диагностики, корректировки таблицы адаптивов, прошивки и т.д. Кроме того, для доступа к программно-аппаратным средствам диагностики подключаться как правило надо не через SATA, а искать на плате выходы диагностического интерфейса.
MacIn
05.04.2016 02:45Пишу по своему опыту — 7 лет назад (не современный диск, нет. Но выше говорилось о четверти века, это точно не так), обычный интерфейс, через сервисную программу производилось форматирование. Допускаю, что сам процесс форматирования был просто профанацией (хотя и шел очень долго), но опция в сервисной программе была.
DrPass
05.04.2016 12:37> Допускаю, что сам процесс форматирования был просто профанацией
Это скорее всего и было. Дело в том, что команда форматирования в АТА никуда не делась. Жесткий диск её просто проигнорирует, но если программа глуповатая, она будет честно проходить по всем трекам с этой командой.
Paul_Smith
03.04.2016 20:57+2"После выполнения своих вредоносных функций, пользователь увидит следующий экран"… Задумался, какие же вредоносные функции выполняет пользователь...
mickvav
03.04.2016 21:37-1xor? а сколько там длина ключа декодер уже написали?
pwrlnd
04.04.2016 01:42Называется читал статью по диагонали:
также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.
Толку от расшифровки загрузчика windows?
sweetbrick
03.04.2016 21:46Да, на неискушенного пользователя это действует для загрузки и запуска неизвестно чего и неизвестно от куда.
Рекомендация на все случаи жизни: не пей из лужицы, станешь.
MgmZog
03.04.2016 21:46+3По идее этот локер менее опасен чем обычные, которые шифруют файлы. Даже с зашифрованной MFT можно восстановить много данных по сигнатурам программами типа R-Studio.
И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.pwrlnd
04.04.2016 01:45По идее этот локер менее опасен чем обычные, которые шифруют файлы
Тем более этому локеру нужны права администратора, когда обычному шифровальщику достаточно доступа к файлам пользователя на запись.
qrck13
03.04.2016 21:47Если у пользователя все файлы синхронизированы с облаком, то такой тип вымогателя — менее опасен, т.к. достаточно все снести и переустановить систему, + OneDrive/Dropbox/etc.
А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).
Lerg
03.04.2016 21:50В Google Drive тоже есть версионность, но не в курсе какие там лимиты.
qrck13
03.04.2016 21:56Нужно еще убедится, что версионность полноценная. Например в том-же OneDrive вроде как есть версионность для офисных документов. Но стоит поверх документа записать какой-нибудь мусор — доступ к старым версиям теряется (т.е. оригинал документа не восстановить никак).
Xaliuss
05.04.2016 13:52Onedrive поддерживает версионность, по крайней мере для документов office, что самое важное.
qrck13
05.04.2016 13:55Только работает она, эта версионность, криво, и от крипто-локеров не спасет, что важно.
В частности — если записать поверх файла мусор (или зашифрованную версию файла) — то доступ к версиям теряется, и уже не восстановить никак оригинальный документ. Я проверял. Можете сами проверить тоже.
Lerg
03.04.2016 21:48+2Раз система после шифрования не запускается, то это равносильно просто внезаптному выходу из строя жёсткого диска. Храните свои документы в Google Drive, Dropbox или другом облаке (можно даже своём или на флешке) и не будет у вас никаких проблем.
Geograph
04.04.2016 08:35А шифруются все диски или только системный?
Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?
roboter
04.04.2016 09:54восстанавливает ли вирус работу компьютера если заплатить? проводятся ли такие испытания? по идее вирусописатель может спалится как раз в момент оплаты.
Veliant
04.04.2016 10:25Функция расшифровки после ввода корректного ключа в коде присутствует. Вопрос лишь в том, высылают ли ключ.
DjOnline
04.04.2016 11:00Гораздо интересней как вымогается оплата, через bitcoin? Там же видно все транзакции, сколько уже сделали переводом этому вымогателю и на какую сумму?
w_bishop
05.04.2016 13:51Ну вот у меня есть свои предрассудки, я вообще не юзаю антивири, ну вот совсем, есть такое у меня, и UAC тоже на мин. Т.е. в таком варианте реальный способ только судорожно при вылете бсода вырубать комп, вытаскивать винт, подрубать его к другому компу (только не как загрузочный) делать резервы т.к. наверняка зашифровать еще Петя не успел. и все, форматить винт. И т.д.
AndreyUA
Кто-то прочитал книгу Е. Касперского «Компьютерные вирусы MS-DOS» и решил написать свой one half?
ertaquo
Офигительная книга, кстати. Читал ее в свое время как приключенческий роман :)