Dwa tygodnie temu pisaliśmy o nowej epidemii oprogramowania typu ransomware, które instaluje się na komputerze użytkownika oglądającego reklamy na nie budzących podejrzeń serwisach internetowych i szyfruje zawartość dysku twardego żądając za odszyfrowanie okupu. Choć od ostatniej epidemii w 2013 roku wirusy typu ransomware straciły na popularności, to zaledwie pół miesiąca po ostatniej epidemii mamy kolejny atak.

Tym razem złośliwy program, nazwany Petya, zamiast szeregowych użytkowników internetu atakuje firmy. A dokładniej rzecz biorąc – został on podesłany do działów HR niemieckich firm. Czyżby twórcy wirusa uznali, że pracownicy działów kadr dysponowali na swoich komputerach cennymi danymi i jednocześnie byli osobami naiwnymi, które chętnie otworzą podejrzany link? Bowiem to kliknięcie linka w mailu kierowało pracownika do złośliwego pliku. Co więcej, ten uruchamiając się powodował pojawienie się standardowego windowsowego okienka z pytaniem, czy zezwolić programowi na wprowadzanie modyfikacji na komputerze i dopiero kliknięcie na „tak” pozwala na aktywację złośliwego kodu.

Petya restartuje komputer i szyfruje tablicę plików dysku twardego (w międzyczasie udając że skanuje dysk w poszukiwaniu uszkodzeń). Po zaszyfrowaniu tablicy plików program wyświetla komunikat z informacjami o zaszyfrowaniu plików oraz sposobie w jaki można wpłacić okup, wynoszący obecnie 0,90294 Bitcoina, czyli równowartość około 373 dolarów. Jak odkrył Fabian Scherschel z Heise Security, wirus używa na szczęście wyjątkowo nędznego algorytmu szyfrującego, dzięki czemu zawartość dysku można łatwo odzyskać nie płacąc okupu.

[źródło i grafika: arstechnica.com]

Spodobał Ci się ten artykuł? Podaj dalej!