27 июня многие украинские компании стали жертвами массированной кибератаки, в рамках которой вирус шифровал данные на накопителе и требовал выкуп в сумме $300. Но специалисты по вопросам информационной безопасности утверждают, что атаковавший компьютеры вирус Petya.A образца 2017 года существенно отличается от версии Petya 2016 года, хотя и использует некоторые его элементы. Если первоначальный Petya был действительно вирусом-вымогателем, то новая инкарнация Petya.A ориентирована на нанесение максимального ущерба. А требование выкупа является лишь вводящим в заблуждение прикрытием.
Дело в том, что вирус Petya образца 2016 года шифровал данные, а после получения выкупа позволял восстановить зашифрованные файлы. Новый вирус Petya.A не только шифрует данные и MFT (Master File Table), но и перезаписывает MBR (Master Boot Record). Он уничтожает первые 25 секторов загрузочной записи накопителя. Сектора просто перезаписываются. Изначально хранящиеся в них данные не считываются и никуда не сохраняются в процессе заражения. Хотя оригинальная версия Petya корректно считывала сектора и затем декодировала их.
Таким образом, версия Petya 2016 года изменяла данные на накопителе таким образом, чтобы потом можно было фактически вернуть исходное состояние. В то же время модификация Petya.A 2017 года необратимо повреждает накопитель. В итоге, при заражении вирусом Petya.A даже после уплаты восстановление данных остаётся невозможным. Следовательно, Petya.A является не вымогателем, а уничтожителем данных.
Источник: comae
- 27 июня вирус-шифровальщик массированно атаковал компьютеры многих компаний Украины.
- Вслед за Украиной вирус-вымогатель Petya.A распространился и на другие страны.
- Киберполиция Украины назвала в качестве одного из виновников распространения вируса-шифровальщика Petya.A программное обеспечение «M.E.doc».