30. 03. 2016 19:50

Výzkumníci ze společnosti Trend Micro odhalili nový ransomware, který nazvali „PETYA“ (RANSOM_PETYA.A). Tato nová hrozba nešifruje jednotlivé soubory, ale při startu nebo restartu počítače zobrazí výhrůžku s požadavkem na zaplacení výkupného ještě před spuštěním systému.

Charakteristika ransomwaru

Ransomware PETYA je šířen pomocí speciálně připraveného e-mailu, který se často tváří jako dopis žadatele o pracovní pozici ve firmě. V těle zprávy je pak odkaz na překvapivě důvěryhodné cloudové úložiště (v tomto případě Dropbox), odkud lze stáhnout curriculum vitae (CV) a fotografii žadatele. Životopis jako samorozbalovací spustitelný soubor je jasnou pastí, která stáhne a spustí trojan, jenž sekundárně nainstaluje ransomware. Ten přepíše MBR (Master Boot Record) celého pevného disku, což způsobí kolaps systému Windows následovaný známou modrou obrazovkou. V případě, že se uživatel pokusí restartovat systém, modifikovaný MBR zabrání spuštění systému, dokonce i v tzv. Safe mode. Namísto toho se objeví na obrazovce ultimátum s návodem na další postup a odkazem na profesionálně vyhlížející webové stránky, které se nacházejí v síti Tor. Na nich je uvedena cena výkupného v hodnotě 0,99 BTC (Bitcoinů), nebo 431 USD, a časový odpočet, po kterém by byla cena zdvojnásobena.

Dopad ransomware

Zamezení přístupu ke všem souborům a datům na disku.

Řešení

Uživatelům se doporučuje kromě kontinuální aktualizace antivirových ochran a zabezpečení dbát zvýšené obezřetnosti při práci s nevyžádanými e-maily a neznámými soubory. Různé antivirové společnosti nabízí řadu řešení, které dokáží detekovat infikované soubory ještě před jejich spuštěním, případně blokovat IP adresy, které distribuují škodlivý obsah. Žádná ochrana však není stoprocentní a tak nejúčinnějším řešením je ZÁLOHOVÁNÍ.

CVE

N/A

Odkazy

http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/
http://www.kyberbezpecnost.cz/?p=6601
http://www.svethardware.cz/petya-ransomware-sifrujici-zavadeci-zaznam-disku-mbr/42090
http://www.securityweek.com/petya-ransomware-encrypts-entire-hard-drives