Троян-шифровальщик Petya теперь распространяется вместе с вымогательским ПО Mischa

uu$$$$$$$$$$$$$$$$$uu
u$$$$$$$$$$$$$$$$$$$$$u
u$$$$$$$$$$$$$$$$$$$$$$$ll
u$$$$$$$S$$$$$$$S$$$S$S$S$u u$$$$$$$$$$$$$$$$$$$$$$$$$u «$$$« »S$S$S$u »$$$$»	u$u	$$$$«
$$$u	u$u	u$$$
$$$u	u$$$u	«$$$
»$$$$uu$$$	$$$uuS$S$»
«$$$$$$$«• «$$$$$$$« u$$$$$$$u$$$$$$$u U$*$*$*$ к$и$«$и
uuu	$$u$ $ $ $ $u$s


По данным экспертов компании Bleeping Computer, авторы трояна-шифровальщика Petya выпустили новый инсталлятор, который в случае невозможности получить права администратора вместе с Petya устанавливает дополнительное вымогательское ПО Mischa. Раньше после установки Petya запрашивал права администратора с целью изменить главную загрузочную запись, и в случае неудачи инсталлятор бездействовал. Теперь же, если попытки Petya получить права администратора оказываются безуспешными, на компьютер жертвы устанавливается Mischa.

Инсталлятор Petya/Mischa распространяется с помощью фишинговых писем, содержащих ссылку на облачный сервис наподобие MagentaCloud. Ссылка ведет на фотографию предполагаемого претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. После того, как жертва запускает исполняемый файл с именем наподобие PDFBewerbungsmappe.exe, инсталлятор пытается получить права администратора для изменения главной загрузочной записи. Если это невозможно, устанавливается не требующее подобных прав вымогательское ПО Mischa.

Инфицировав систему, вредонос сканирует компьютер, шифрует хранящиеся на нем файлы с помощью алгоритма AES и добавляет к их имени четырехзначное расширение. К примеру, test.jpg может стать test.jpg.7GP3. Помимо стандартных типов файлов (PNG, JPG, DOCX и пр), Mischa также шифрует файлы .EXE. Вредонос не шифрует файлы, находящиеся в паках \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

За восстановление файлов вымогатель требует от жертвы выплатить выкуп в размере 1,93 биткойна (порядка $875). В настоящее время инструментов, позволяющих расшифровать их без необходимости платить, не существует.
©