Petya.2017 оказался вирусом-уничтожителем, а не вымогателем

Первоначальный вирус Petya.A образца 2016 года был классическим вирусом-вымогателем. А вот то, что мы получили вчера (27.06.2017) — это “животное” куда хуже . Этот вирус — стиратель, уничтожитель.

Более подробно расписал особенности этого вируса Matt Suiche в корпоративном блоге, оригинал статьи читайте здесь:
https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

В чем отличие между вирусом-вымогателем и вирусом-уничтожителем

Целью вируса-вымогателя является получить деньги с жертвы в пользу его творца. Целью вируса-стирателя является уничтожение компьютерной инфраструктуры жертвы.

Основное отличие в методах действий Petya.A (2016) и Petya.2017 в том, что последний переписывал содержимое MBR (0й сектор на диске, с которого начинается загрузка компьютера, без сохранения исходной версии данных этого сектора. В то время как его предок, считывал сначала, шифровал и записывал в отдельный пустующий сектор.

Поэтому после действий старого вируса был вариант на восстановление файлов, структуры диска, загрузочной записи. Новый вариант вируса просто все уничтожает, действуя как трактор в посудной лавке.

Слева — часть кода Petya.2017, который переписывает 0й сектор, не сохраняя его. Справа — старый вариант этого когда, 0й сектор считывается, затем шифруется операцией XOR и сохраняется в 34й сектор

Более того, адрес email, который используют “вымогатели” для того, что бы жертвы сообщали о переводах биткоинов на их счет — НЕДЕЙСТВИТЕЛЬНЫЙ. Почтовый сервер отвечает на попытку отправить письмо на этот адрес ошибкой 554 — почтовый адрес получателя удален. Так что слать им выкуп точно не имеет смысла — никто не собирался отвечать на просьбы жертв.

И проблема даже не в том, что адрес удален. А в том, что этот емейл принадлежал немецкому сервису электронной почты. Ни один вымогатель на такое не пошел бы на регистрацию почты для вымогательства денег на таком ресурсе, потому что его потом бы легко вычислили по корреспонденции, ее содержимому.

По факту, все заявления о вымогательства вирусом — просто прикрытие его деструктивной сути.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.