2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Opisi virusa, 24.05.2016, 00:30 AM

Mesec dana pošto je pronađeno rešenje za žrtve ransomwarea Petya, malver se vratio sa novom taktikom. I to ne sam.

Sada Petya dolazi u paketu sa još jednim ransomwareom nazvanim Mischa. I jedan i drugi ransomware dobili su imena po satelitima iz filma Golden Eye.

Kriminalci su dva ransomwarea upakovali u jedan fajl kako bi bili sigurni da žrtvu drže u šaci.

Ransomware Petya koji je otkriven krajem marta je privukao pažnju zbog toga što se njegov način rada razlikuje od onoga što smo viđali kod drugih ransomwarea. Umesto da šifruje fajlove na računaru i objavi obaveštenje o otkupu, Petya restartuje računar, ali pre toga menja MBR (Master Boot Record) hard diska i šifruje ceo hard disk. Računar je praktično “zaglavljen” u stadijumu pre bootovanja.

Ubrzo po otrkiću ovog ransomwarea za žrtve je stigla dobra vest - dvojica istraživača, Leo Stoun i Fabijan Vozar ponudili su žrtvama besplatnu pomoć.

To međutim nije bio kraj priče o ransomwareu Petya. Sada su njegovi autori objavili drugu verziju, koja je upakovana u jedan fajl sa ransomwareom Mischa.

Kriminalci su imali veliki problem sa ransomwareom Petya - malveru su, kada se pokrene, neophodne administrativne privilegije.

Ako korisnik koji klikne dva puta na fajl inficiran ransomwareom Petya ne odobri pokretanje u UAC (User Account Control) prozoru, ransomware se neće pokrenuti. Kriminalci su ovaj problem rešili tako što su u fajlove koji isporučuju Petya ransomware, uključili backup ransomware Mischa. Mischa se pokreće samo kada Petya ne može da se pokrene. Mischa funkcioniše kao i svi ransomwarei šifrujući fajlove pomoću moćnog algoritma.

Petya i Mischa su deo nove “Ransomware-as-a-Service” platforme. Potencijalnim klijentima se nudi pristup beta verziji.

Kao što je bio slučaj sa prethodnom verzijom ransomwarea, i ova se širi preko cloud skladišta, sakriven u nečemu što izgleda kao prijava za posao u pdf fajlu, koji je ustvari exe fajl. Otvaranje fajlova koje korisnik preuzme dovodi do infekcije računara ransomwareima Petya i Mischa.

Kriminalci će moći da iznajmljuju ovaj paket ransomwarea a njihov jedini zadatak je da šire malvere, s tim što će morati da dele novac koji uzmu od žrtava sa onima od kojih ih iznajmljuju.

Trenutno je samo nekolicini kriminalaca omogućen pristup platformi koja se hostuje na Dark Webu i čiji je naziv Janus Cybercrime.