Аналитики G Data опубликовали информацию о вирусе-вымогателе Petya нового типа — он впервые полностью шифрует содержимое накопителя, а не только отдельные файлы. Атака злоумышленников, которые используют его в настоящее время, направлена на коммерческие организации в странах, где говорят на немецком языке. Вирус попадает на ПК сотрудника компании через ссылку в электронном письме, которая ведет на EXE-файл в облаке Dropbox, замаскированный под резюме (его имя в переводе с немецкого языка — application_portfolio-packed.exe).
Запущенный в системе вирус переписывает сектор Master Boot Record, что не позволяет в штатном режиме загрузить операционную систему, а затем требует купить код разблокировки. На экране жертва вируса видит символьное изображение черепа, которое агрессивно мерцает.
Нажав любую кнопку, пользователь попадет на страницу с инструкциями вымогателей. Они требуют посредством браузера Tor перейти на определенные страницы в даркнете и за 0,99 биткоина (примерно 400 долл.) купить код дешифровки. Злоумышленники даже придумали особую схему мотивации «клиента»: через неделю цена кода удваивается. По словам исследователей, злоумышленники выбрали Tor, чтобы замаскировать собственные данные (сеть Tor позволяет полностью скрыть свои личность и местонахождение).
Специалисты G Data пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос врет о шифровании данных. Вероятнее всего, блокировщик просто блокирует доступ к файлам и не дает ОС загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.
В недавнем прошлом блокировщики были очень распространенным типом вирусов. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену им пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.
