Киберполиция: Вирус-вымогатель — новая модификация трояна Petya

Как сообщает пресс-служба Департамента киберполиции Национальной полиции Украины в Facebook, исходя из анализа загрузочной части вируса, можно с высокой степенью вероятности утверждать, что это новая модификация трояна Petya.

«Во время анализа установлены похожие участки кода, где используется тот же алгоритм шифрования — Salsa20 с модифицированным расширением ключа», — говорится в сообщении.

Специалисты по кибербезопасности добавляют, что в первой версии Petya — это «expand 32 — byte k», а в новой версии — «1invalid s3ct — id». Уникальный восьмибайтный номер для Salsa (nonce), хранится в секторе 32 (в старом — 55м). По смещению 0×21.

«Первый байт 32-го сектора используется как маяк при загрузке — при 0 — происходит шифрование MFT, при 1 — вывод сообщения об оплате. Закриптованный MBR сохраняется в сектор 34. Шифрование — xor с ключом 0×7», — информирует Киберполиции.

Кроме этого, правоохранители обращаются ко всем специалистам с предложением принять участие в разработке совместной со специалистами Департамента программы подбора паролей.

Напомним, со вчерашнего дня Украина потерпает от масштабной хакерской атаки, которая привела к массовым сбоям в работе государственных ведомств, торговых сетей, энергокомпаний, СМИ, банков и почтовых сервисов, а также остановила работу платежных терминалов в метрополитене Киева.

Вирус Petya.A работает по той же схеме, что и вирус WannaCry, который в середине мая поразил сотни тысяч компьютеров по всему миру. Четких данных, кто стал инициатором распространения вируса, нет. В СБУ заявили, что кибератака в Украине может бытьорганизована с территории РФ, а также, что пораженные вирусом Petya.A файлы расшифровать невозможно, даже после перечисления средств злоумышленникам.

Сегодня в Мининформполитики показали примерписьма-вирусоносителя. Кроме этого, американский разработчик антивирусов Symantec показал быстрый способ защиты от вируса Petya.