Специалисти по сигурността съобщават за вирус изнудвач, който криптира съдържанието на целия твърд диск, а не само на отделни файлове. Той е открит от компанията G Data и се нарича Петя (Pеtya), съобщава сайта technews.bg.
[ad id=“225664″]
В червеното лого на софтуера има сърп и чук. Чрез него киберпрестъпниците атакуват търговски организации основно в немскоговорящите страни.
Вирусът прониква в компютъра чрез линк в електронната поща, който води към EXE файл в облака Dropbox (application_portfolio-packed.exe), маскиран като информация за работа и насочен към отделите по човешки ресурси. Когато потребителят стартира този файл, компютърът влиза в „синия екран на смъртта”, след което се рестартира.
[ad id=“263680″]
При зареждането се създава впечатление, че компютърът изпълнява помощната програма CHKDSK, която проверява за грешки по диска. Потребителят вижда предупреждение, че процесът на проверка може да отнеме няколко часа, като през това време не бива да изключва компютъра, за да не бъдат унищожени данните.
В действителност обаче Петя модифицира зареждащия сектор на диска – Master Boot Record (MBR), за да може впоследствие да управлява процеса на зареждане. След това компютъра наистина се презарежда, но вместо CHKDSK вирусът изпълнява своята злокобна мисия – за няколко часа криптира всички данни на диска.
След завършване на процеса, екранният фон се оцветява в червено и се появява изображение на череп.
[ad id=“236993″]
Всички данни на диска са криптирани по военен алгоритъм и за да получи достъп до тях, потребителят трябва да изпълни три прости стъпки: да свали браузъра Tor, да последва посочения линк и да плати за декодиращия ключ. Вирусът дава срок от седем дни за изпълнение на стъпките, след което обещава да удвои сумата за откуп.
Според специалистите, Tor Browser е избран от атакуващите, за да могат да маскират собствените си данни. Както е известно, мрежата Tor позволява напълно да бъдат скрити самоличността и местонахождението на потребителите.
[ad id=“237001″]
G Data предупреждава засегнатите потребители да не предоставят никакви данни и да не плащат на кибер измамниците, тъй като не е ясно дали информацията от диска ще бъде възстановена. Също така инфектираните машини следва незабавно да бъдат откачени от мрежата, за да не заразят и други компютри.
