Вирус Petya объединился с «вымогателем» Mischa

 
11 167
16 мая 2016 в 13:10
Автор: Ян Альшевский
Автор: Ян Альшевский

В конце марта появилась информация о вирусе-шифровальщике Petya, который переписывает сектор Master Boot Record, а затем требует выкуп за дешифровку. Эксперты в компьютерной безопасности обнаружили «коллегу» Petya: в случае если он не способен получить на компьютере права администратора, к нему на помощь приходит вымогательское ПО Mischa.

Инсталлятор Petya/Mischa распространяется с помощью фишинговых писем, содержащих ссылку на облачный сервис наподобие MagentaCloud, сообщает SecurityLab. Ссылка ведет на фотографию предполагаемого претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. Жертва запускает файл вида PDFBewerbungsmappe.exe, после чего Petya пытается установиться на компьютер с привилегиями администратора. Если ему это не удается, в дело вступает не требующий подобных прав Mischa.

Вирус шифрует хранящиеся на компьютере файлы с помощью алгоритма AES и добавляет к их имени четырехзначное расширение (например, из test.jpg получается test.jpg.7GP3). Mischa умеет шифровать стандартные типы файлов, но не затрагивает те, которые хранятся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

За восстановление файлов вымогатель требует от жертвы выплатить выкуп в размере 1,93 биткоина (около $875).

Читайте также: