PetrWrap folosit de către hackeri în atacuri împotriva companiilor

Un nou troian pentru computere, denumit PetrWrap este folosit în atacurile asupra rețelelor enterprise. Acesta instalează ransomware-ul Petya pe calculatoare, apoi completează ransomware-ul pentru a se potrivi nevoilor sale, potrivit cercetătorilor din cadrul furnizorului antivirus Kaspersky Lab.

Troianul se folosește de metode de programare pentru a păcăli ransomware-ul inițial – Petya – să folosească o cheie de criptare diferită decât cea încorporată inițial în codul sursă al acestuia. Prin această modalitate atacatorii au siguranța că doar ei pot decripta fișierele computerelor infectate. Deasemenea orice mențiune Petya a fost eliminată din mesajul de răscumpărare, precum și semnătura sa cu un craniu roșu proiectată în ASCII.

În urmă cu un an a apărut Petya, un ransomware ce s-a remarcat imediat în rândul programelor de acest gen. În loc să cripteze fișierele în mod direct, acesta înlocuiește codul MBR (master boot record) al hard drive-ului cu cod malițios ce criptează MFT-ul (master file table).

MBR-ul este răspunzător de pornirea sistemului de operare. MFT-ul este un fișier special de pe volumele NTFS ce conține informații cu privire la toate fișierele stocate pe hard disk: nume, dimensiune, locația acestora pe sectoarele hard disk-ului. Chiar dacă Petya nu face o criptare propriu zisă, fără acest MFT sistemul de operare nu ar știi unde sunt localizate fișierele pe disc.

Spre deosebire de alte infecții ransomware ce blochează accesul la anumite fișiere esențiale utilizatorului (.doc, .xls, .jpeg, .pdf etc.), cu un MBR și MFT corupt, Petya reușește să blocheze accesul la întreg calculatorul.

Decizia atacatorilor PetrWrap de a folosi Petya fără acordul autorilor săi inițiali este destul de inteligentă. Aceștia nu au trebuit să scrie prooooooool program ransomware și nici nu au plătit pe altcineva pentru a veni cu o soluție gata preparată. Fiind prezent ca ransomware de ceva timp, Petya a ajuns să se maturizeze într-o piesă malware foarte bine dezvoltată, ajungându-se la varianta 3 a ransomware-ului… variantă ce este folosită și de către atacatorii PetrWrap.

Cum se răspândește PetrWrap

O dată ajuns în interiorul unei rețele, atacatorii PetrWrap caută și fură acreditările administrative, iar apoi se folosesc de PsExec pentru a injecta malware pe toate computerele și serverele endpoint pe care le pot accesa.

În prezent nu există niciun instrument de decriptare a MFT-ului de pe volumele hard disk afectate de Petya, dar dat fiind că acest malware nu criptează conținutul fișierelor, este posibil unele instrumente de recuperare a datelor să fie în măsură să reconstituie fișierele.

După cum vă spunem de obicei, stay safe!

About Daniel

Senior tester înrăit de aplicații (iOS, Android sau web based); scriitor, grafician și programator de ocazie; senior salahor IT – sper că ne vom împrietenii uşor și că-ți vor plăcea articolele TechZip.

Leave a Reply

%d bloggers like this: