Petya ransomware koristi infekciju iz dva koraka

Petya, nova porodicu ransomware virusa koristi infekciju i enkripciju u dva koraka tvrde istraživači. 

Više detalja o ovom virusu su se pojavili prošle sedmice. Ono što je karakteristično za ovu porodicu je da enkriptuje kompletan hard disk, za razliku od Locky-a, CryptoWall-a i TeslaCrypt-a koji enkriptuju pojedinačne datoteke.  

Petya napada organizacije, a širi se email-ovima koji sadrže link na Dropbox koji sadrži virus. 

Pokretanje datoteke izaziva Blue Screen Of Death i reboot sistema nakon čega virus mijenja Master Boot Record u cilju preuzimanja računara, te onemogućuje korisnika da spriječi enkripciju.  

Prvi korak je prepisivanje početka hard diska i kreiranja enkriptovane kopije sektora koje prebriše, nakon čega korisnik dobija BSOD i reboot.  

Druga faza se sastoji od izvršavanja lažnog CHKDSK ( Windows-ov alat za provjeru stanja hard diska) prilikom reboot-a koji enkriptuje sadržaj hard diska.  

Trenutno ne postoji mogućnost vraćanja podataka ukoliko se izvrše obe faze enkripcije.  

Preporučujemo vam da ne otvarate sumnjive email-ove i u slučaju da dobijete BSOD preporučujemo vam da ne radite restart, koji će pokrenuti drugu fazu infekcije.  

Datoteke se mogu spasiti prije izvršavanja druge faze.  

 
 

 

Izvor:www.securityweek.com