В июне 2017 года в Украине, произошел большой всплеск вредоносного программного обеспечения Petya, по стилю напоминающего WannaCry вирус (программа-вымогатель денежных средств). Так как до сих пор ходят споры как именно эти вирусы связаны, мы подготовили этот небольшой дискурс по семейству вредоносных ПО, похожих на вирус Petya.
Происхождение вируса Petya:
Первый вирус был запущен в марте 2016 года человеком или группой лиц которые назвали себя Janus Cybercrime Solutions. Рекламируя свою вредоносную программу, эта группа предоставляла право другим лицам распространить вирус. Все решения Janus Cybercrime Solutions , были опубликованы в Twitter с соответствующими учетными записями, сначала @janussec, а потом @JanusSecretary.
Имена “Janus” and “Petya” были взяты из знаменитого фильма «Джеймс Бонд»<<Золотой глаз>>. Характерная картинка в Twitter Бориса Грищенко (хакер\программист в фильме), так же как ни есть соответствовало выбранной хакерами тематике.
Уникальность вируса.
В начале Petya, был уникальной программой-вымогателем так как имеет функции не схожие с данными программами-вымогателями. Большинство таких вирусов шифруют файлы один за одним, Petya лишает доступа к полной системе атакуя низкоуровневые структуры на диске.
Во время инстоляций установщик вируса перезаписывает загрузочную область жесткого диска. Из-за этого поврежденный компьютер загружает программу, маскирующуюся под утилиту CHKDSK:
Вместо проверки диска он шифрует таблицу основных файлов (MFT) системой поточного шифрования Salsa20. Таким образом программа-вымогатель делает диск недоступным. После завершения шифрования, на экране отображается мигающий череп, за которым следует требование выкупа.
Вот как выглядели системные экраны первой версии вируса Petya:
Официальные версии вирусных программ:
Существует 4 версии вирусной программы Petya, разработанные в оригинале автором, Janus:
1) 1.0 (Red Petya) — Поражает только MFT.
2) 2.0 (Green Petya + Mischa)- Поражает либо MFT, либо файлы (Поражение зависит от привилегий с которыми запущена вирусная программа).
3) 2.5 (Green Petya + Mischa)- Улучшенная версия 2.0.
4) 3.0 (GoldenEye) — Поражает как MFT, так и файлы, используя обход UAC для автоматического повышения своих привилегий.
Недавно Janus выпустил главный ключ, который может разблокировать все описанные выше версии. Все выпуски Petya, можно распределить по цветам, например:
1) 1.0 (Red Petya) — Поражает только MFT.
2) 2.0 (Green Petya + Mischa)- Поражает либо MFT, либо файлы (Поражение зависит от привилегий с которыми запущена вирусная программа).
3) 2.5 (Green Petya + Mischa)- Улучшенная версия 2.0.
4) 3.0 (GoldenEye) — Поражает как MFT, так и файлы, используя обход UAC для автоматического повышения своих привилегий.
Недавно Janus выпустил главный ключ, который может разблокировать все описанные выше версии. Все выпуски Petya, можно распределить по цветам, например:
Red Petya(Красный)
Неофициальные версии (Пиратские релизы)
С тех пор как вирус Petya стал известен, все кибер преступники пытаются его использовать. Однако не все хотят присоединиться к партнерской программе и заплатить правообладателю. Подобно законному ПО, у вируса Petya есть пиратские версии. Вот две из них:
PetrWrap — Основан на Green Petya. Использует низкоуровневый компонент, а так же исправленную DLL Petya, упакованной новым загрузчиком.
EternalPetya- также называемая NotPetya, ExPetr. Вредоносная программа использует за основу GoldenEye, используется в кибер атаке на Украину.использует высокоуровневый компонент, файл (PE) был перезаписан.
Пиратские версии могут быть обнаружены по модифицированному виду. В обоих случаях череп Petya был удален.
PetrWrap
PetrWrap — Основан на Green Petya. Использует низкоуровневый компонент, а так же исправленную DLL Petya, упакованной новым загрузчиком.
EternalPetya- также называемая NotPetya, ExPetr. Вредоносная программа использует за основу GoldenEye, используется в кибер атаке на Украину.использует высокоуровневый компонент, файл (PE) был перезаписан.
Пиратские версии могут быть обнаружены по модифицированному виду. В обоих случаях череп Petya был удален.
PetrWrap
Если PetrWrap был полнофункциональной программой- выкупом, то EternalPetya, кажется незаконченным по тому, что ключ Salsa, который использовался для шифрования MFT, не может быть восстановлен. После шифрования данные не могут быть дешифрованы даже авторами вредоносных программ.
Подобно оригинальному GoldenEye, EternalPetya шифрует файлы перед поражением MFT. Файлы шифруются с разными алгоритмами и ключами, чем MFT (RSA+AES, а MFT шифруется с использованием Salsa20). 4 июля разработчики EternalPetya предложили продать частный ключ RSA, он может помочь в разблокировке файлов, но не MFT. Ниже опубликовано сообщение от хакеров:
Подражатели
Так же сейчас появляются программы подражатели, в дополнение к вредоносным ПО основанный на оригинальном Petya. Они не имеют ничего общего с Petya, но пытаются скопировать его некоторые особенности. Такими примерами являются SatanaRansomware или Petya+, .NET имитация Petya, обнаруженная @LawrenceAbrams.
Заключение
Пиратство программами -вымогателями, становиться обычным явлением в наше время, чем ухудшает положение дел для жертв вредоносного ПО. Авторы этих программ зачастую не хотят возвращать информацию. Они просто используют известный бренд для того что бы их жертвы платили выкуп. В дополнение к всему сказанному, есть также программа DMALocker в которой есть несколько вариантов развития событий, но обычно данные на жёстком диске так искажаются что они не подлежат восстановлению.
Petya- это мощная вредоносная программа. Его очень легко модифицировать или перенастроить что бы создать более плохую версию. Даже после того, как официальное производство вируса прекращено, можно ожидать появления новых пиратских версий программы.
Petya- это мощная вредоносная программа. Его очень легко модифицировать или перенастроить что бы создать более плохую версию. Даже после того, как официальное производство вируса прекращено, можно ожидать появления новых пиратских версий программы.
Как востановить данные с диска.
ПЕРЕД ЛЮБЫМИ МАНИПУЛЯЦИЯМИ С ДИСКОМ ДЕЛАЙТЕ ЕГО КОПИЮ!
Образ загрузочного диска который можно записать на флешку:
Это декодер для ключей Petya, использует Janus мастер ключ.
Поддерживает версии:
Поддерживает версии:
- Red Petya
- Green Petya (both versions) + Mischa
- Goldeneye (bootlocker + files)
Ипользование:
- Загрузится с образа
- Указать диск (пример команда: «petya_key /dev/sda» где /dev/sda диск зашифрованный вирусом)
- Получаем в ответ ключ (пример: [+] Your key : TxgTCXnpUPSeR2U7)
- Загружаемся с шифрованного диска, вводим код, ждем полной расшифровки диска.
Программы для расшифровки файлов:
EmoticonEmoticon