В конце марта появилась информация о вирусе-шифровальщике Petya, который переписывает сектор Master Boot Record, а затем требует выкуп за дешифровку. Эксперты в компьютерной безопасности обнаружили «коллегу» Petya: в случае если он не способен получить на компьютере права администратора, к нему на помощь приходит вымогательское ПО Mischa.
Инсталлятор Petya/Mischa распространяется с помощью фишинговых писем, содержащих ссылку на облачный сервис наподобие MagentaCloud, сообщает SecurityLab. Ссылка ведет на фотографию предполагаемого претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. Жертва запускает файл вида PDFBewerbungsmappe.exe, после чего Petya пытается установиться на компьютер с привилегиями администратора. Если ему это не удается, в дело вступает не требующий подобных прав Mischa.
Вирус шифрует хранящиеся на компьютере файлы с помощью алгоритма AES и добавляет к их имени четырехзначное расширение (например, из test.jpg получается test.jpg.7GP3). Mischa умеет шифровать стандартные типы файлов, но не затрагивает те, которые хранятся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.
За восстановление файлов вымогатель требует от жертвы выплатить выкуп в размере 1,93 биткоина (около $875).
Читайте также: