Кіберполіція: Вірус-здирник — нова модифікація трояна Petya

Як інформує прес-служба Департаменту кіберполіції Національної поліції України у Facebook, виходячи з аналізу завантажувальної частини вірусу, можна з високим ступенем вірогідності стверджувати, що це нова модифікація трояна Petya.

«Під час аналізу встановлені схожі ділянки коду, використовується той же алгоритм криптування — Salsa20 з модифікованим розширенням ключа», — йдеться у повідомленні.

Фахівці з кібербезпеки додають, що у першій версії Petya — це «expand 32 — byte k», а у новій версії — «1invalid s3ct — id». Унікальний восьмибайтовий номер для Salsa (nonce), зберігається в секторі 32 (у старому — 55м). По зміщенню 0×21.

«Перший байт 32-го сектора використовується як маяк при завантаженні — при 0 — відбувається шифрування MFT, при 1 — вивід повідомлення про оплату. Закриптований MBR зберігається у сектор 34. Криптування — xor з ключем 0×7», — інформує Кіберполіція.

Окрім цього, правоохоронці звертаються до всіх спеціалістів з пропозицією прийняти участь у розробці спільно з фахівцями Департаменту програми підбору паролей.

Нагадаємо, з учорашнього дня Україна потерпає від масштабної хакерської атаки, що призвела до масових збоїв у роботі державних відомств, торговельних мереж, енергокомпаній, ЗМІ, банків і поштових сервісів, а також зупинила роботу платіжних терміналів у метрополітені Києва.

Вірус Petya.A працює за тією ж схемою, що і вірус WannaCry, який в середині травня вразив сотні тисяч комп’ютерів по всьому світу. Чітких даних, хто став ініціатором поширення вірусу, немає. В СБУ заявили, що кібератака в Україні може бути організованаз території РФ, а також, що уражені вірусом Petya.A файли розшифрувати неможливо. Експерти додають, що дешифрування файлів не відбувається навіть після перерахування коштів зловмисникам.

Сьогодні у Мінінформполітики показали прикладлиста-вірусоносія. Окрім цього, американський розробник антивірусів Symantec показав швидкий спосіб захисту від вірусу Petya.