Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Petya – nowy malware z polskim tłumaczeniem szyfrujący MFT – na szczęście jest częściowa odtrutka
Petya to relatywnie nowy typ cryptomalware, szyfrujący dla odmiany cały MFT (zatem zawartość plików pozostaje nietknięta i można je odzyskiwać narzędziami typu testdisk/photorec). Infekcja rozpoczyna się klasycznie – od uruchomienia złośliwej binarki. Później następuje wymuszony bluescreen i po reboocie następuje faza 2 – szyfrowanie dysku a następnie prezentowany jest ten oto ASCII obrazek:
Petya
Co ciekawe, jeśli wyłączymy komputer przed rebootem całość zostanie nietknięta i możemy podmontować dysk w innym komputerze i odzyskać wszystkie dane:
The file system is not destroyed, and we can still mount this disk and use its content. That’s why, if you suspect that you have this ransomware, the first thing we recommend is to not reboot the system. Instead, make a disk dump. Eventually you can, at this stage, mount this disk to another operating system and make the file backup.
Strona z mechanizmem opłacenia okupu została przygotowana również w języku polskim – szykujcie się więc do walki z infekcjami.
Petya
–ms
@hasherezade (https://twitter.com/hasherezade?lang=pl) robi super robotę w temacie ransomware i dekoderów do nich.
Czasami się zastanawiam dlaczego w windowsach cały czas możliwe jest nadpisywanie MBR z ring-3, pewnie chodzi o kompatybilność (która/e aplikacje tego potrzebują), ale zabawne w tym wszystkim jest to że od jakiegoś czasu (od vist-y) podobno nie ma raw-accessa do dysku do innych sektorów, poza mbrem.