Шифровальщик-вымогатель Petya + Misha: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Шифровальщик-вымогатель Petya: Шифрование жёсткого диска

Исследователи G DATA обнаружили новое вымогательское ПО, называющее себя Petya Ransomware, которое шифрует жёсткий диск инфицированного компьютера. Точнее, Petya портит таблицу размещения файлов NTFS, известную как MFT. Используется работа с диском на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

По словам экспертов, вредоносное ПО, вероятно, разработано специально для атак на предприятия. Petya распространяется с помощью фишинговых электронных писем, адресованных кадровым отделам компаний. Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда можно загрузить "портфолио".

После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки.

Petya-Processing.png

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается не операционная система, а экран блокировки Petya. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).

petya_1.png petya_2.png

На следующем экране вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через семь дней цена на ключ дешифровки удвоится (см. скриншот, демонстрирующий отсчет оставшегося времени).

petya_3.png

На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны.

Видеоролик для демонстрации работы вымогателя

Процесс получения пароля для разблокировки диска в пять шагов:
Petya Ransomware skips the Files and Encrypts your Hard Drive Instead

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Появились результаты детекта антивирусов на "Petya" на VirusTotal (от 28 числа):
https://www.virustotal.com/ru/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739/analysis/

Прикольно, ЛК Петю повысили до Петра: Trojan-Ransom.Win32.Petr.a
А Симантек вообще "конём" обозвали: Trojan Horse. :Biggrin:

Забавно, что ни в одном отчете не упомянули "русский" след.
А ведь он там явно указан.

пет.png RАИSОМЩАЯЗ - это RANSOMWARE в рашен транскрипшен. :Biggrin:
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Petya Ransomware: Способы и инструменты дешифровки

Энтузиастам удалось определить алгоритм, который можно использовать для расшифровки пострадавших от Petya Ransomware компьютеров. Этот способ описан в специальной теме. Конечно, нам лучше подойдет не ручной способ, а специальный инструмент, созданный уже известным нашим читателям Фабианом Уосаром. Для начала вы должны взять зашифрованный диск с зараженного компьютера и подключите его к компьютеру с ОС Windows, который работает в нормальном режиме. Если у зараженного компьютера несколько жестких дисков, вы должны взять только загрузочный диск, на котором установлена система, обычно это C:\. Другие способы подключения и описания опускаем.

После того, как подключите зашифрованный диск к рабочему компьютеру и загрузите ОС Windows, просто скачайте Petya Sector Extractor и сохраните его на Рабочем столе. Распакуйте в папку с тем же названием и запустите файл PetyaExtractor.exe. После запуска программа просканирует все съемные и несъемные дисков в поиске тех, которые содержат bootcode Petya Ransomware. Когда он обнаруживает диск, он автоматически выберет его и отобразит экран, как показано ниже (рисунок слева). Если диск, скомпрометированный Petya, не будет найдет, то вы увидите соответствующее сообщение (см. рисунок справа).

petya-sector-extractor.png petya-sector-extractor-no.png

Теперь перейдите на сайт PETYA-PAY-NO-RANSOM . На этом сайте два текстовых поля Base64 512 и Base64 8 bytes. Чтобы сгенерировать ключ дешифрования, нужно ввести данные, извлеченные из Petya Sector Extractor в эти текстовые поля.

Используйте кнопку Copy Sector для копирования 512 byte и вставьте в текстовое поле "Base64 encoded 512 bytes verification data".
Используйте кнопку Copy Nonce для копирования 8 bytes и вставьте в текстовое поле "Base64 encoded 8 bytes nonce".

Для этого установите курсор в каждое поле ввода и вставьте код командой из контекстного меню, или используйте комбинацию клавиш Ctrl+V для вставки текста из буфера обмена.

Когда вы закончите ввод данных в текстовых полях, это будет выглядеть следующим образом (картинка ниже слева). Для генерации пароля дешифрования нажмите на кнопку "Submit". Этот процесс займёт около минуты, в результате будет показан пароль, см. рисунок ниже справа.

petya-required-info.png petya-decryption-key-found.png

Запишите этот пароль и подключите зашифрованный жёсткий диск обратно в исходный компьютер. Включите заражённый компьютер и, когда увидите блокировку экрана Petya, введите сгенерированный пароль. Он будет принят и вымогатель начнёт расшифровку жёсткого диска.

petya-decrypting.png

После того, как жёсткий диск будет расшифрован, вам предложат перезагрузить компьютер и он загрузится уже нормально.

 
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Petya + Mischa Ransomware: Петя вернулся и привёл с собой Мишу

Новый инсталлятор Petya устанавливает Mischa Ransomware, если не удаётся получить административные привилегии. В прошлом, когда устанавливался Petya, то он просил административные привилегии, чтобы потом изменить MBR. Если привилегии получить не удавалось, то установщик ничего плохого на компьютере не делал.

misha.png
Рис.1. Своеобразный логотип Миши

В отличие от Petya, его "брат" Mischa является стандартным вымогателем, который шифрует файлы и требует уплаты выкупа, чтобы получить ключ дешифрования. В настоящее время сумма выкупа за "работу" Миши равна 1,93380 Bitcoins или около $ 875 долларов США.

Установщик Petya-Mischa распространяется через фишинговые email-рассылки. Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно, то устанавливается криптовымогатель Mischa, которому админ-права не нужны.


При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. Важно отметить, что Misha шифрует не только стандартные файла документов (PNG, JPG, DOCX и т.д.), но и EXE-файлы. Примечательно, что Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому, чтобы скрыть своё присутствие до некоторого времени.

misha-note.png misha2.JPG
Рис.2-3 Записки о выкупе, HTML-вариант (слева) и TXT-вариант (справа)

В каждой папке, где Mischa шифрует файлы, он оставляет две записки под названием YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT . В них содержатся информация о том, что случилось с файлами и ссылки на TOR-сайты для платежа. В записку с требованием выкупа помещается специальный код, который нужно вставить в форму на сайте оплаты, чтобы заплатить выкуп.

Файлы, связанные с Mischa Ransomware:
Код:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe
Подробная инструкция по осуществлению платежа или только ознакомления находится на сайте BP.com (см. спойлер внизу).

Способов бесплатного восстановления зашифрованных Misha Ransomware файлов пока нет. Но всегда, после удаления вредоноса, надо проверять состояние томов теневых копий файлов. У некоторых вымогателей есть проблемы с их удалением, некоторые вообще их не удаляют, потому у жертвы в любом случае может быть небольшой шанс восстановить из них хотя бы часть своих данных.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Petya + Misha = RaaS

Разработчикам тандема Petya & Misha оказалось мало домашних пользователей, и они стали позиционировать этот вымогательский союза как услугу - Ransomware as a Service (RaaS), чтобы получать доход за распространение своих вымогателей.

petya-mischa-raas.png

Подробнее >>>
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
В новой версии Petya исправлена ошибка в алгоритме шифрования

Новая версия крипто-вымогателя Petya, шифрующего диски, была выпущена с исправленной ошибкой, из-за которой не было должным образом реализовано шифрование дисков с помощью алгоритма шифрования Salsa20.

сравнение.jpg

Как и в предыдущей версии, при установке Petya попробует получить права администратора, чтобы установить шифровальщик диска, а при неудаче установит шифровальщик-вымогатель Mischa.

Petya распространяется тем же способом, как и ранние версии, рассылая в офисы компаний резюме претендентов на работу. Особенно немецким компаниям следует опасаться любых заявителей, предлагающих скачать якобы PDF-резюме с названиями типа Bewerbungsmappe (нем. "документы претендента"). Этот метод использовался ранее для обмана получателей и запуска установщика Petya. Разумеется, под PDF скрывается EXE-файл.

exe1.png
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Вымогательские периPetyaии или Mishaнина с кодом Chimera-ы
[читай: перипетии и мешанина]

Некоторое время назад дэвы Chimera Ransomware забросили или утратили свой вымогательский проект. После чего исходный код и ключи дешифрования оказались в руках других вымогателей, дэвов Petya+Misha. Последние выпустили заявление, что они никак не связаны ни с "химерами", ни с хакерами, добывшими информацию. В итоге, они просто получили доступ к большей части их системы и частично использовали исходники Chimera.

С сожалению, пока никто не заявил, что добытые ключи дешифрования (около 3500 ключей RSA) уже использованы для создания Chimera Decryptor. Эти ключи находятся в шестнадцатеричном формате и могут быть преобразованы обратно в свой обычный формат, а в профессиональных руках использоваться для создания дешифратора.

После того, как дэвы Petya+Misha стали подавать свой проект как Ransomware as a Service, or RaaS, прошло 2,5 месяца. Всё это время этот этот RaaS тестировался с ограниченным количеством партнеров-распространителей. Теперь этот вредоносный проект запущен и сегодня любой потенциальный преступник может подписаться и стать официальным дистрибьютором Petya+Misha RaaS.

yanus.png
Janus Cibercrime (название проекта или очередной эпатаж)

К сожалению, это может привести к росту вредоносных кампаний по распространению этого вымогателя. И если ранее целями были в основном германские предприятия, то с запуском RaaS в массы мы можем увидеть более широкое распространение и больше жертв Petya+Misha Ransomware.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Заявление дэвов RaaS Petya+Misha:
Like the analysts already detected, Mischa uses parts of the Chimera source. We are NOT connected to the people behind Chimera.
Earlier this year we got access to big parts of their deveolpment system, and included parts of Chimera in our project.
Additionally we now release about 3500 decryption keys from Chimera. They are RSA private keys and shown below in HEX format.
It should not be difficult for antivirus companies to build a decrypter with this informations.
Перевод на русский:
Как уже обнаружили аналитики, Mischa использует часть исходников Chimera. Мы не связаны с людьми из Chimera.
В этом году мы получили доступ к большей части их разработки, а также включили часть Chimera в наш проект.
Кроме того, мы выложили около 3500 ключей дешифрования Chimera. Это RSA закрытые ключи в HEX формате.
Антивирусные компании без особого труда смогут создать Decrypter с этими данными.
Вот их ссылка на Chimera Leak (в архиве текстовый файл размеров 8 Мб) для антивирусных компаний или специалистов, желающих создать декриптор для файлов, зашифрованных Chimera Ransomware.
chimera-leak.zip (4.34MB) - SendSpace.com
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Выявлен еще один способ распространения вымогателей Petya+Misha - с помощью pif-файлов, рассылаемых по почте, например под видом pdf-файла с именем Vince-e35886EZ16-pdf.pif . Раньше были только exe-файлы. Произошло это в ходе вредоносной кампании, направленной против польских пользователей.

Примечательно, что на данный момент лишь 8 антивирусных движков на VT опознали в этом файле вирус-вымогатель Petya.
Среди них, Avast, Bkav, Malwarebytes. Qihoo-360, Symantec.
pet2.png
Ссылка на отчет: https://www.virustotal.com/ru/file/ecc5cc62c8200954079191e586123522f88aa1414ae98908380176d75d2e7eab/analysis/

pet3.png
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,130
Баллы
803
Шифровальщик GoldenEye

Злоумышленники, разрабатывающие криптовымогательский проект Petya+Misha, выпустили новую вариацию под названием GoldenEye Ransomware.

Основное отличие GoldenEye от предшественника в том, что Misha ставился после того, как не мог установиться Petya, а теперь прежде ставится GoldenEye, шифрует файлы, а уже потом ставит MBR-буткит для шифрования MFT диска после перезагрузки ПК.

Выполнив шифрование GoldenEye отображает записку с требованиями выкупа YOUR_FILES_ARE_ENCRYPTED.TXT, которые жертва должна принять и безотлагательно оплатить выкуп, примерно равный 1,33-1,34 BTC, не выключая и не перезагружая ПК!

После перезагрузки ПК появляется чёрный экран, где как бы идёт процесс проверки жёсткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем.

goldeneye1.jpg goldeneye2.jpg

На данный момент шифровальщик GoldenEye распространяется с помощью email-спама и вредоносных вложений, в частности вредоносного файла с названиями, включающими "Bewerbung.xls": например, Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Schlosser-Bewerbung.xls и им подобные. Письмо якобы от адресата "rolf.drescher". Пострадавшие, главным образом, находятся в Германии и их адресаты.

goldeneye3.jpg

При открытии жертве отображается таблица Excel-документа, содержащего вредоносный макрос, который и устанавливает на ПК шифровальщик GoldenEye, если пользователь разрешит макросы, после чего сработает сценарий, вредонос сохранится в Temp-папку и запустится на исполнение — начнётся процесс шифрования файлов. Для каждого зашифрованного файла GoldenEye добавляет расширение, состоящее из 8 случайных символов.

Источник информации:
Шифровальщики-вымогатели: GoldenEye Ransomware (6 декабря, 2016).
 
Последнее редактирование:
Сверху Снизу