Вирус Petya вышел за пределы Украины и России, об атаках на компьютеры начали сообщать компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.
Petya.A шифрует главную загрузочную запись (MBR) на жестком диске и выводит на мониторе требование выкупа за дешифрацию данных — эквивалент 300 долларов США в біткойнах. Как данный вирус попадает на компьютеры и версии Windows он заражает, пока неизвестно.
О вирусе Petya.A стало известно в апреле 2016 года. Он распространялся по электронной почте. Адресат запускал приложен к письму exe-файл и предоставлял программе права администратора, после чего она показывала поддельный BSOD (синий экран смерти). После перезагрузки вирус запускал поддельную программу, замаскированную под проверку диска, и зашифровывал данные в накопитель, причем не целиком, а частично. Файлы можно было спасти, если вовремя прекратить вредоносную активность на этапе появления BSOD.
С той поры Petya мутировал и теперь, вероятно, распространяется по другой схеме. Обновленный код позволяет ему обходить антивирусную проверку и проникать в хорошо защищенные компьютерные сети частных компаний и государственных организаций. Раньше инструкция по переводу денег была размещена на специальном сайте, а теперь сайта нет, подробная информация приводится на экране, с помощью которого Petya блокирует доступ к операционной системе. Пользователю предлагается перевести деньги на указанный кошелек и написать хакерам на электронную почту, после чего ему придет код для расшифровки файлов, который нужно ввести на тот же экран.
По данным ESET Israel, компьютеры компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает запись MBR, но не трогает сами данные. Вирус распространяется через уязвимость в SMB, но это, вероятно, не единственный способ его появления на компьютере.
По материалам Ua Format