«Лаборатория Касперского» предупреждает о появлении новой вредоносной программы, которая используется киберпреступниками для проведения целевых атак на бизнес-пользователей.
Зловред получил название PetrWrap. Его главная особенность заключается в том, что он базируется на опасном шифровальщике Petya, причём использует эту программу без разрешения разработчиков.
Petya — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли.
Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. Троян оснащён собственными криптографическими алгоритмами и в процессе работы изменяет код Petya, что позволяет преступникам, стоящим за PetrWrap, скрыть факт использования Petya в процессе заражения.
При этом новый троян использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap не требуется помощь авторов оригинального вымогателя.
Важно отметить, что Petya в последних версиях обладает очень мощным криптографическим алгоритмом, а поэтому расшифровать файлы чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные данные, однако с тех пор авторы закрыли почти все уязвимости.
Более подробную информацию о схеме работы трояна PetrWrap можно найти здесь.
Источник: 3DNews
