Obvykle, když je uživatel zasažen nějakým šifrovacím virem, infekce zasáhne jeho soubory a snaží se zašifrovat co nejvíce dat – převážně se jedná o dokumenty, fotky, faktury a podobné pro uživatele „citlivé“ soubory.  Operační systém je tak netknutý, není nijak modifikován a uživatel může normálně pracovat, „jen“ se nedostane ke svým dokumentům. Ransomware s názvem Petya posouvá tento typ havěti na nový level. Zašifruje totiž tabulku MFT, takže se bez znalosti klíče není možné dostat ani k souborům, natož k datům.Výsledek je podobný, jako kdybyste měli zašifrovaný celý disk. V době psaní tohoto článku je cena za odpovídající klíč ~.9 bitcoinu a není známá cesta, jak dat bez zaplacení dešifrovat.

Tento virus se aktuálně šíří skrze podvodné emaily, které se tváří, že pocházejí od německé HR agentury. Tyto maily pak obsahují link na dropbox, odkud je stažen soubor s virem Petya do počítače. Installer se může jmenovat například Bewerbungsmappe-gepackt.exe.

Upozorňuji, že je mnoho stránek, které Vám tvrdí, že pomocí jejich návodu se tohoto viru zbavíte. Bohužel to tak ale není. V návodech se zmiňují pokusy na spuštění příkazu FixMBR, které sice upraví zaváděcí oblast disku, ale data nijak neobnoví, takže si nepomůžete. Pouze je pak možné přeinstalovat systém a o všechna data přijít. V minulosti se již podobná verze viru objevila, ale nebyla tak sofistikovaná a data bylo možné obnovit, když jste disk připojili jako externí k jinému zařízení a pustili jakýkoliv nástroj na obnovu dat.

Older Boot Encryptor
Starší verze viru

Proces šifrování virem Petya Ransomware

Když je virus poprvé spuštěn, Petya přepíše Master Boot Record, neboli MBR upraveným záznamem, nesoucím příkazy potřebné k zavedení viru a následnému šifrování.  MBR je informace uložená na každém disku a říká počítači, jakým způsobem má spouštět operační systém. Díky tomu se Windows zavedou i s virem, který zobrazí na displeji informaci o tom, že probíhá sken disku pomocí utility CHKDSK, což je systémový nástroj na opravu chyb. Během této podvodné kontroly CHKDSKem Petya zašifruje Master File Table na disku. Jakmile je tato tabulka poškozena, nebo v tomto případě zašifrována, počítač neví, kde má uložena data, nebo zda vůbec existují a ztratí k nim tak přístup.

Fake CHKDSK
Falešný CHKDSK

Když falešná kontrola CHKDSKem skončí, zobrazí se krásné červené upozornění s instrukcemi, jak zaplatit. Je potřeba připojit se do sítě TOR, přejít na připravenou stránku a zadat unikátní ID číslo pro provedení platby. Jakmile bude převod bitcoinů uskutečněn, obdržíte heslo, které vložíte do spodního řádku této obrazovky a rozšifrujete tak tabulku MFT, což znamená že opět získáte přístup ke svým datům.

Lock Screen
Zamykací obrazovka

Pěkně je celá situace ilustrována na tomto videu:

 

Co k tomu dodat? Je to vychytaně napsaný malware, proti kterému je těžké se bránit a pomáhá pouze kvalitní antivirový program. Například ESET Smart Security detekuje virus jako Win32/Diskcoder.Petya.A již několik hodin od jeho prvního výskytu. A samozřejmě také dodržovat zlaté pravidlo, kdyby se něco pokazilo – zálohovat, zálohovat, zálohovat!

Převzato ze serveru bleepingcomputer.com