Petya + Misha: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 25 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель Petya: Шифрование жёсткого диска

    Исследователи G DATA обнаружили новое вымогательское ПО, называющее себя Petya Ransomware, которое шифрует жёсткий диск инфицированного компьютера. Точнее, Petya портит таблицу размещения файлов NTFS, известную как MFT. Используется работа с диском на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

    По словам экспертов, вредоносное ПО, вероятно, разработано специально для атак на предприятия. Petya распространяется с помощью фишинговых электронных писем, адресованных кадровым отделам компаний. Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда можно загрузить "портфолио".

    После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки.

    Petya-Processing.png

    После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается не операционная система, а экран блокировки Petya. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).

    petya_1.png petya_2.png

    На следующем экране вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через семь дней цена на ключ дешифровки удвоится (см. скриншот, демонстрирующий отсчет оставшегося времени).

    petya_3.png

    На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны.

    Видеоролик для демонстрации работы вымогателя


    Процесс получения пароля для разблокировки диска в пять шагов:
    Petya Ransomware skips the Files and Encrypts your Hard Drive Instead

     
    Phoenix, Kиpилл, lilia-5-0 и 4 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Появились результаты детекта антивирусов на "Petya" на VirusTotal (от 28 числа):
    https://www.virustotal.com/ru/file/...b05e94d43f3201436927e13b3ebafa90739/analysis/

    Прикольно, ЛК Петю повысили до Петра: Trojan-Ransom.Win32.Petr.a
    А Симантек вообще "конём" обозвали: Trojan Horse. :Biggrin:

    Забавно, что ни в одном отчете не упомянули "русский" след.
    А ведь он там явно указан.

    пет.png RАИSОМЩАЯЗ - это RANSOMWARE в рашен транскрипшен. :Biggrin:
     
    Kиpилл, lilia-5-0, Охотник и 3 другим нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Petya Ransomware: Способы и инструменты дешифровки

    Энтузиастам удалось определить алгоритм, который можно использовать для расшифровки пострадавших от Petya Ransomware компьютеров. Этот способ описан в специальной теме. Конечно, нам лучше подойдет не ручной способ, а специальный инструмент, созданный уже известным нашим читателям Фабианом Уосаром. Для начала вы должны взять зашифрованный диск с зараженного компьютера и подключите его к компьютеру с ОС Windows, который работает в нормальном режиме. Если у зараженного компьютера несколько жестких дисков, вы должны взять только загрузочный диск, на котором установлена система, обычно это C:\. Другие способы подключения и описания опускаем.

    После того, как подключите зашифрованный диск к рабочему компьютеру и загрузите ОС Windows, просто скачайте Petya Sector Extractor и сохраните его на Рабочем столе. Распакуйте в папку с тем же названием и запустите файл PetyaExtractor.exe. После запуска программа просканирует все съемные и несъемные дисков в поиске тех, которые содержат bootcode Petya Ransomware. Когда он обнаруживает диск, он автоматически выберет его и отобразит экран, как показано ниже (рисунок слева). Если диск, скомпрометированный Petya, не будет найдет, то вы увидите соответствующее сообщение (см. рисунок справа).

    petya-sector-extractor.png petya-sector-extractor-no.png

    Теперь перейдите на сайт PETYA-PAY-NO-RANSOM . На этом сайте два текстовых поля Base64 512 и Base64 8 bytes. Чтобы сгенерировать ключ дешифрования, нужно ввести данные, извлеченные из Petya Sector Extractor в эти текстовые поля.

    Используйте кнопку Copy Sector для копирования 512 byte и вставьте в текстовое поле "Base64 encoded 512 bytes verification data".
    Используйте кнопку Copy Nonce для копирования 8 bytes и вставьте в текстовое поле "Base64 encoded 8 bytes nonce".

    Для этого установите курсор в каждое поле ввода и вставьте код командой из контекстного меню, или используйте комбинацию клавиш Ctrl+V для вставки текста из буфера обмена.

    Когда вы закончите ввод данных в текстовых полях, это будет выглядеть следующим образом (картинка ниже слева). Для генерации пароля дешифрования нажмите на кнопку "Submit". Этот процесс займёт около минуты, в результате будет показан пароль, см. рисунок ниже справа.

    petya-required-info.png petya-decryption-key-found.png

    Запишите этот пароль и подключите зашифрованный жёсткий диск обратно в исходный компьютер. Включите заражённый компьютер и, когда увидите блокировку экрана Petya, введите сгенерированный пароль. Он будет принят и вымогатель начнёт расшифровку жёсткого диска.

    petya-decrypting.png

    После того, как жёсткий диск будет расшифрован, вам предложат перезагрузить компьютер и он загрузится уже нормально.

     
    Последнее редактирование модератором: 19 июл 2016
    Kиpилл, lilia-5-0, orderman и 2 другим нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Petya + Mischa Ransomware: Петя вернулся и привёл с собой Мишу

    Новый инсталлятор Petya устанавливает Mischa Ransomware, если не удаётся получить административные привилегии. В прошлом, когда устанавливался Petya, то он просил административные привилегии, чтобы потом изменить MBR. Если привилегии получить не удавалось, то установщик ничего плохого на компьютере не делал.

    misha.png
    Рис.1. Своеобразный логотип Миши

    В отличие от Petya, его "брат" Mischa является стандартным вымогателем, который шифрует файлы и требует уплаты выкупа, чтобы получить ключ дешифрования. В настоящее время сумма выкупа за "работу" Миши равна 1,93380 Bitcoins или около $ 875 долларов США.

    Установщик Petya-Mischa распространяется через фишинговые email-рассылки. Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно, то устанавливается криптовымогатель Mischa, которому админ-права не нужны.



    При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. Важно отметить, что Misha шифрует не только стандартные файла документов (PNG, JPG, DOCX и т.д.), но и EXE-файлы. Примечательно, что Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому, чтобы скрыть своё присутствие до некоторого времени.

    misha-note.png misha2.JPG
    Рис.2-3 Записки о выкупе, HTML-вариант (слева) и TXT-вариант (справа)

    В каждой папке, где Mischa шифрует файлы, он оставляет две записки под названием YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT . В них содержатся информация о том, что случилось с файлами и ссылки на TOR-сайты для платежа. В записку с требованием выкупа помещается специальный код, который нужно вставить в форму на сайте оплаты, чтобы заплатить выкуп.

    Файлы, связанные с Mischa Ransomware:
    Код (Text):
    YOUR_FILES_ARE_ENCRYPTED.HTML
    YOUR_FILES_ARE_ENCRYPTED.TXT
    PDFBewerbungsmappe.exe
    Подробная инструкция по осуществлению платежа или только ознакомления находится на сайте BP.com (см. спойлер внизу).

    Способов бесплатного восстановления зашифрованных Misha Ransomware файлов пока нет. Но всегда, после удаления вредоноса, надо проверять состояние томов теневых копий файлов. У некоторых вымогателей есть проблемы с их удалением, некоторые вообще их не удаляют, потому у жертвы в любом случае может быть небольшой шанс восстановить из них хотя бы часть своих данных.

     
    Kиpилл, Охотник, thyrex и ещё 1-му нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Petya + Misha = RaaS

    Разработчикам тандема Petya & Misha оказалось мало домашних пользователей, и они стали позиционировать этот вымогательский союза как услугу - Ransomware as a Service (RaaS), чтобы получать доход за распространение своих вымогателей.

    petya-mischa-raas.png

    Подробнее >>>
     
    Kиpилл и Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    В новой версии Petya исправлена ошибка в алгоритме шифрования

    Новая версия крипто-вымогателя Petya, шифрующего диски, была выпущена с исправленной ошибкой, из-за которой не было должным образом реализовано шифрование дисков с помощью алгоритма шифрования Salsa20.

    сравнение.jpg

    Как и в предыдущей версии, при установке Petya попробует получить права администратора, чтобы установить шифровальщик диска, а при неудаче установит шифровальщик-вымогатель Mischa.

    Petya распространяется тем же способом, как и ранние версии, рассылая в офисы компаний резюме претендентов на работу. Особенно немецким компаниям следует опасаться любых заявителей, предлагающих скачать якобы PDF-резюме с названиями типа Bewerbungsmappe (нем. "документы претендента"). Этот метод использовался ранее для обмана получателей и запуска установщика Petya. Разумеется, под PDF скрывается EXE-файл.

    exe1.png
     
    Охотник, Kиpилл, thyrex и ещё 1-му нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Вымогательские периPetyaии или Mishaнина с кодом Chimera-ы
    [читай: перипетии и мешанина]

    Некоторое время назад дэвы Chimera Ransomware забросили или утратили свой вымогательский проект. После чего исходный код и ключи дешифрования оказались в руках других вымогателей, дэвов Petya+Misha. Последние выпустили заявление, что они никак не связаны ни с "химерами", ни с хакерами, добывшими информацию. В итоге, они просто получили доступ к большей части их системы и частично использовали исходники Chimera.

    С сожалению, пока никто не заявил, что добытые ключи дешифрования (около 3500 ключей RSA) уже использованы для создания Chimera Decryptor. Эти ключи находятся в шестнадцатеричном формате и могут быть преобразованы обратно в свой обычный формат, а в профессиональных руках использоваться для создания дешифратора.

    После того, как дэвы Petya+Misha стали подавать свой проект как Ransomware as a Service, or RaaS, прошло 2,5 месяца. Всё это время этот этот RaaS тестировался с ограниченным количеством партнеров-распространителей. Теперь этот вредоносный проект запущен и сегодня любой потенциальный преступник может подписаться и стать официальным дистрибьютором Petya+Misha RaaS.

    yanus.png
    Janus Cibercrime (название проекта или очередной эпатаж)

    К сожалению, это может привести к росту вредоносных кампаний по распространению этого вымогателя. И если ранее целями были в основном германские предприятия, то с запуском RaaS в массы мы можем увидеть более широкое распространение и больше жертв Petya+Misha Ransomware.

     
    Phoenix и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Заявление дэвов RaaS Petya+Misha:
    Перевод на русский:
    Вот их ссылка на Chimera Leak (в архиве текстовый файл размеров 8 Мб) для антивирусных компаний или специалистов, желающих создать декриптор для файлов, зашифрованных Chimera Ransomware.
    chimera-leak.zip (4.34MB) - SendSpace.com
     
    Охотник нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Malwarebytes подвизались на дешифровку!
    Keys to Chimera ransomware leaked
     
    Последнее редактирование модератором: 5 авг 2016
    Phoenix и Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Выявлен еще один способ распространения вымогателей Petya+Misha - с помощью pif-файлов, рассылаемых по почте, например под видом pdf-файла с именем Vince-e35886EZ16-pdf.pif . Раньше были только exe-файлы. Произошло это в ходе вредоносной кампании, направленной против польских пользователей.

    Примечательно, что на данный момент лишь 8 антивирусных движков на VT опознали в этом файле вирус-вымогатель Petya.
    Среди них, Avast, Bkav, Malwarebytes. Qihoo-360, Symantec.
    pet2.png
    Ссылка на отчет: https://www.virustotal.com/ru/file/...522f88aa1414ae98908380176d75d2e7eab/analysis/

    --- Объединённое сообщение, 1 сен 2016 ---
    pet3.png
     
    Phoenix и Охотник нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик GoldenEye

    Злоумышленники, разрабатывающие криптовымогательский проект Petya+Misha, выпустили новую вариацию под названием GoldenEye Ransomware.

    Основное отличие GoldenEye от предшественника в том, что Misha ставился после того, как не мог установиться Petya, а теперь прежде ставится GoldenEye, шифрует файлы, а уже потом ставит MBR-буткит для шифрования MFT диска после перезагрузки ПК.

    Выполнив шифрование GoldenEye отображает записку с требованиями выкупа YOUR_FILES_ARE_ENCRYPTED.TXT, которые жертва должна принять и безотлагательно оплатить выкуп, примерно равный 1,33-1,34 BTC, не выключая и не перезагружая ПК!

    После перезагрузки ПК появляется чёрный экран, где как бы идёт процесс проверки жёсткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем.

    goldeneye1.jpg goldeneye2.jpg

    На данный момент шифровальщик GoldenEye распространяется с помощью email-спама и вредоносных вложений, в частности вредоносного файла с названиями, включающими "Bewerbung.xls": например, Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Schlosser-Bewerbung.xls и им подобные. Письмо якобы от адресата "rolf.drescher". Пострадавшие, главным образом, находятся в Германии и их адресаты.

    goldeneye3.jpg

    При открытии жертве отображается таблица Excel-документа, содержащего вредоносный макрос, который и устанавливает на ПК шифровальщик GoldenEye, если пользователь разрешит макросы, после чего сработает сценарий, вредонос сохранится в Temp-папку и запустится на исполнение — начнётся процесс шифрования файлов. Для каждого зашифрованного файла GoldenEye добавляет расширение, состоящее из 8 случайных символов.

    Источник информации:
    Шифровальщики-вымогатели: GoldenEye Ransomware (6 декабря, 2016).
     
    Последнее редактирование: 7 дек 2016 в 14:00
    Phoenix, Candellmans и mike 1 нравится это.
  12. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.839
    Заплатить мошенникам ? Странный способ..
     

Поделиться этой страницей