Mischa
Петя и Миша — лучшие друзья. Обычно они все делают вместе. И да — вы читаете не сказку для маленьких детей, а блог «Лаборатории Касперского». Поэтому «Петя» и «Миша» — это троянцы-вымогатели, которые работают в паре и поставляются в одном инсталляционном пакете.
Если вы постоянно читаете наш блог и следите за происходящим в мире кибербезопасности, то вы уже знаете о «Пете». Этой весной мы опубликовали два поста — в одном мы объясняли, что это за шифровальщик и как он работает, а в другом рассказали о декрипторе за авторством пользователя Twitter с никнеймом Leostone, позволяющем расшифровать файлы, до которых добрался «Петя».
«Петя» с самого начала был необычным творением: в отличие от других троянцев-вымогателей, он шифровал не файлы с конкретными расширениями, а главную таблицу файлов, тем самым делая весь жесткий диск целиком непригодным для использования. Так что для уплаты выкупа жертвам «Пети» нужен был другой компьютер.
Знакомьтесь, это Petya. Petya — вымогатель, шифрующий главную таблицу файлов на диске. Не будьте как Petya! https://t.co/hks24hClKo
— Kaspersky (@Kaspersky_ru) March 30, 2016
Для своих грязных делишек «Пете» нужны права администратора. Если пользователь не выдает их троянцу, кликнув по соответствующей кнопке, «Петя» становится бессилен. Очевидно, создателей троянца это не устраивало, и они придумали «Пете» подельника — «Мишу».
У «Пети» и «Миши» есть два ключевых отличия. «Петя» может лишить жертву жесткого диска целиком, в то время как «Миша» шифрует только определенные файлы. С другой стороны, «Пете» нужны права администратора, а вот «Мише» — нет. Плохие парни решили, что из этой парочки выйдут отличные напарники, дополняющие друг друга.
«Миша» больше похож на традиционного троянца вымогателя. Он использует стандарт AES для шифрования данных на компьютере жертвы. В блоге Bleeping Computer говорится, что троянец добавляет расширение из четырех символов к имени зашифрованного файла. Таким образом, например, файл «test.txt» становится «test.txt.7GP3».
Теперь, если «Петя» не может получить админ-привилегии, на зараженную машину устанавливается «Миша». Такие дела: https://t.co/vHxU63qASb
— Kaspersky (@Kaspersky_ru) May 17, 2016
У «Миши» неуемный аппетит — он шифрует огромное количество разных файлов, в том числе и .exe. Таким образом новый троянец не позволяет пользователям запустить какую-либо программу на компьютере. За одним исключением: в процессе шифрования «Миша» игнорирует папку Windows и папки, содержащие файлы браузеров. Закончив с шалостями, «Миша» создает два файла, содержащие инструкции по уплате выкупа. Называются они так: YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.
«Петя» и «Миша» попадают на компьютеры жертв с помощью фишинговых email, притворяющихся письмами от кандидатов с «резюме» во вложении. Например, троянец был обнаружен в файле с названием PDFBewerbungsmappe.exe (с немецкого это можно перевести как «PDF-заявка на работу»). Использование немецкого языка в имени файла и то, как распространяется зловред, подсказывают: целью преступников являются немецкоговорящие компании и корпорации.
Тот случай, когда баг принес пользу: ошибка в коде шифратора Petya помогла его победить https://t.co/BbtJWhFQJY pic.twitter.com/LLfhIC7i9U
— Kaspersky (@Kaspersky_ru) April 12, 2016
После того как жертва попытается открыть .exe-файл, содержащий неразлучную парочку, на экране появится окно службы контроля учетных записей пользователей и спросит, точно ли пользователь хочет предоставить этой программе привилегии администратора.
Что бы ни выбрал пользователь, он уже проиграл: если он ответит «да», то за его жесткий диск возьмется «Петя», если «нет», то его файлы украдет «Миша».
Как мы уже говорили, младший брат «Пети» — жадный тип: в качестве выкупа он требует почти 2 биткойна (1,93), что на данный момент эквивалентно примерно $875.
Стоит отметить, что создатели мерзкого дуэта вряд ли являются выходцами из русскоговорящих стран: хотя оба троянца носят русские имена, в оригинале «Мишу» зовут Mischa, а не Misha. Буква «c» в середине подсказывает, что авторы шифровальщика недостаточно хорошо знакомы с правилами транслитерации русских имен.
К сожалению, пока еще никто не придумал инструмента, который бы помог жертвам «Миши». Есть способ восстановить файлы, обработанные «Петей», однако для этого понадобятся запасной ПК и опыт работы с компьютером.
Еще разок про победу над шифратором-вымогателем Petya. Вернуть файлы можно за 10 секунд: https://t.co/icbDcxBX9Z pic.twitter.com/qxrOO13Hpu
— Kaspersky (@Kaspersky_ru) April 13, 2016
Таким образом, чтобы не стать жертвой «Пети», «Миши» или какого-нибудь новенького «Васи», мы рекомендуем вам следующее:
1. Делайте резервные копии, причем как можно чаще и тщательнее. Если вы вовремя забэкапите свои файлы, то сможете послать кибервымогателей… куда захотите.
2. Никому не верьте и всегда помните о возможных угрозах. Резюме этого кандидата имеет расширение .exe? М-м-м, выглядит очень подозрительно… Не стоит его открывать. Лучше быть осторожным, чем потерять все рабочие файлы.
Плохие парни создали шифровальщику-вымогателю Petya напарника Mischa #ransomware
Tweet
3. Установите хорошее защитное решение. Kaspersky Internet Security предоставляет многослойную защиту от вымогателей, которую не преодолеть ни «Мише», ни «Пете», ни их собратьям-шифровальщикам (если, конечно, вы сами не отключите антивирус).
Наши решения идентифицируют «сладкую парочку» Mischa и Petya как Trojan-Ransom.Win32.Mikhail и Trojan-Ransom.Win32.Petr и обезвреживают их. Встроенный компонент «Мониторинг активности» обнаруживает все подозрительные операции, такие как шифрование большого количества файлов, и блокирует их. А Kaspersky Total Security умеет все вышеперечисленное и, сверх того, может автоматически создавать резервные копии важных файлов.
Советы