Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Petya – nowy malware z polskim tłumaczeniem szyfrujący MFT – na szczęście jest częściowa odtrutka

05 kwietnia 2016, 20:33 | W biegu | komentarze 2

Petya to relatywnie nowy typ cryptomalware, szyfrujący dla odmiany cały MFT (zatem zawartość plików pozostaje nietknięta i można je odzyskiwać narzędziami typu testdisk/photorec). Infekcja rozpoczyna się klasycznie – od uruchomienia złośliwej binarki. Później następuje wymuszony bluescreen i po reboocie następuje faza 2 –  szyfrowanie dysku a następnie prezentowany jest ten oto ASCII obrazek:

Petya

Petya

Co ciekawe, jeśli wyłączymy komputer przed rebootem całość zostanie nietknięta i możemy podmontować dysk w innym komputerze i odzyskać wszystkie dane:

The file system is not destroyed, and we can still mount this disk and use its content. That’s why, if you suspect that you have this ransomware, the first thing we recommend is to not reboot the system. Instead, make a disk dump. Eventually you can, at this stage, mount this disk to another operating system and make the file backup.

Strona z mechanizmem opłacenia okupu została przygotowana również w języku polskim – szykujcie się więc do walki z infekcjami.

Petya

Petya

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bl4de
    Odpowiedz
  2. Czasami się zastanawiam dlaczego w windowsach cały czas możliwe jest nadpisywanie MBR z ring-3, pewnie chodzi o kompatybilność (która/e aplikacje tego potrzebują), ale zabawne w tym wszystkim jest to że od jakiegoś czasu (od vist-y) podobno nie ma raw-accessa do dysku do innych sektorów, poza mbrem.

    Odpowiedz

Odpowiedz