Как вирус Петя (Petya) привел с собой Мишу (Mischa)

Новый инсталлятор Petya устанавливает Mischa Ransomware, если не удаётся получить административные привилегии. В прошлом, когда устанавливался Petya, то он просил административные привилегии, чтобы потом изменить MBR. Если привилегии получить не удавалось, то установщик ничего плохого на компьютере не делал.

В отличие от Petya, его "брат" Mischa является стандартным вымогателем, который шифрует файлы и требует уплаты выкупа, чтобы получить ключ дешифрования. В настоящее время сумма выкупа за "работу" Миши равна 1,93380 Bitcoins или около $ 875 долларов США.

Установщик Petya-Mischa распространяется через фишинговые email-рассылки. Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. Когда жертва запускает этот файл, то он сначала пытается получить права администратора и установить вирус Petya, чтобы изменить MBR, а если это невозможно, то устанавливается криптовымогатель Mischa, которому админ-права не нужны.

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. Важно отметить, что Misha шифрует не только стандартные файла документов (PNG, JPG, DOCX и т.д.), но и EXE-файлы. Примечательно, что Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому, чтобы скрыть своё присутствие до некоторого времени.

Вот так выглядит окно вымогателя миши

kak virus petya petya privel s soboj mishu mischa2

Способов бесплатного восстановления зашифрованных Misha Ransomware файлов пока нет. Но всегда, после удаления вредоноса, надо проверять состояние томов теневых копий файлов. У некоторых вымогателей есть проблемы с их удалением, некоторые вообще их не удаляют, потому у жертвы в любом случае может быть небольшой шанс восстановить из них хотя бы часть своих данных.

распространяется тем же способом, как и ранние версии, рассылая в офисы компаний резюме претендентов на работу. Этот метод использовался ранее для обмана получателей и запуска установщика Petya. Разумеется, под PDF скрывается EXE-файл.

kak virus petya petya privel s soboj mishu mischa3

kak virus petya petya privel s soboj mishu mischa4

Комментарии (0)

There are no comments posted here yet

Оставьте свой комментарий

Опубликуйте комментарий как Гость. Иначе Зарегистрируйтесь или Войдите в ваш аккаунт.
Вложения (0 / 3)
Share Your Location
Отправляя комментарий вы соглашаетесь с Политикой конфиденциальности
Вверх
Политика конфиденциальности Используя сайт вы даете согласие на обработку персональных данных