Что такое вирус миша и петя

Обновлено: 25.04.2024

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

четверг, 12 мая 2016 г.

Petya + Mischa

Petya + Mischa Ransomware

Petya & Mischa Ransomware

Aliases: Green Petya, Petya-2

(шифровальщик-вымогатель , MBR-модификатор )


Этот крипто-вымогатель является тандемом ранее известного крипто-вымогателя Petya и нового — Mischa. Именно Misha шифрует все файлы пользователей с помощью AES, а затем требует выкуп в 1,93380 BTC, чтобы вернуть файлы. Оригинальное название: Mischa Ransomware .

© Генеалогия: Petya > Petya + Mischa (Petya-2) > GoldenEye, Petna, Bitch


Обратите внимание на логотип крипто-вымогателя.
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. Только теперь вместо PETYA написано MISCHA.

Этимология названия Mischa:
Братья-вымогатели получили название не от каких-то реальных Пети и Миши, а от киношных советских спутников, которые фигурируют в одном из фильмов об агенте 007 Джеймсе Бонде ("GoldenEye" или "Золотой глаз", 1995). В декабре 2016 появится новый вымогатель. получивший название из того фильма, это GoldenEye Ransomware. GoldenEye по фильму - это название советского космического оружия, частью которого и являются спутники-близнецы. Спутник Petya выходит на орбиту в первой половине фильма, а Mischa во второй половине, ближе к концу фильма.
Примечательно, что по-английски имя Миша пишется как Misha, а по-немецки Mischa, но фильме на экране монитора указано именно Mischa, и именно так написано название вымогателя в оригинале.
Порядковое название данной версии: Petya-2 или Petya 2.0

К зашифрованным файлам Mischa добавляет четырёхсимвольное расширение, т.е. .>

Примеры расширений:
.7GP3
.A3BN
.KJP8

Активность этого крипто-вымогателя пришлась на первую половину мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR_FILES_ARE_ENCRYPTED. TXT и YOUR_FILES_ARE_ENCRYPTED.HTML








Установщик Petya+Mischa распространяется через фишинговые email-рассылки ( email-спам ). Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. См. также "Основные способы распространения криптовымогателей" на вводной странице блога .


Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно (потому что права пользователя ограничены или на запрос UAC он ответил "Нет"), то устанавливается шифровальщик Mischa, которому админ-права не нужны.



Если же пользователь ответит "Да", то всё равно вредонос запустится и установит вредоносный модуль Petya для модификации MBR. Тогда всё произойдет, как ранее описано в статье Petya Ransomware, только на этот раз при загрузке компьютера будет показано стилизованное изображение черепа с костями на зелёно-чёрном фоне. Текст записки о выкупе будет написан зелёными буквами на чёрном фоне.



Примечание 1.
💀 Примечательно, что оба крипто-вымогателя получили "взрослые" имена Пётр и Михаил только в "Лаборатории Касперского": это Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail
У других антивирусов они в детекте просто Petya и Mischa. 🙆🙌




© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private


Вчера началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.

Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был использован для распространения WannaCry. Больше технических деталей в нашем посте на Securelist.


  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (детект компонентом Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (детект компонентом Мониторинг активности)
  • PDM:Exploit.Win32.Generic (детект компонентом Мониторинг активности)

Нашим корпоративным клиентам мы советуем следующее

  • Убедитесь, что в нашем продукте включены компоненты Kaspersky Security Network и Мониторинг активности.
  • Обновите антивирусные базы вручную.
  • Установите все обновления безопасности Windows. В особенности MS17-010, которое латает дыру, используемую эксплойтом EternalBlue.
  • В качестве дополнительной меры предосторожности с помощью компонента Контроль активности программ Kaspersky Endpoint Security запретите всем программам доступ к файлу perfc.dat и приложению PSExec (часть Sysinternals Suite).
  • В качестве альтернативы для предотвращения запуска PSExec можно использовать компонент Контроль запуска программ Kaspersky Endpoint Security. Однако обязательно используйте Контроль активности программ для запрета доступа к perfc.dat.
  • Настройте режим Запрет по умолчанию компонента Контроль активности программ для проактивного противодействия этой и другим угрозам.
  • Также для запрета выполнения файла perfc.dat и утилиты можно использовать Windows AppLocker.
  • Сделайте резервные копии файлов.

Советы домашним пользователям

Домашних пользователей данная угроза касается в меньшей степени, поскольку злоумышленники концентрируют свое внимание на крупных организациях. Однако защититься также не помешает. Вот, что стоит сделать:

  • Сделайте бэкап. Это вообще полезно в наше неспокойное время.
  • Если вы пользуетесь одним из наших продуктов, убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
  • Обновите вручную антивирусные базы. Серьезно, не откладывайте — сделайте это прямо сейчас, это не займет много времени.
  • Установите все обновления безопасности Windows. В особенности то, которое латает дыру, используемую эксплойтом EternalBlue — как это сделать мы подробно рассказали здесь.

Не платите выкуп

Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп. Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Обновлено: Как оказалось, это еще не все. Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы.

Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.

Вредонос Petya. Экран с предупреждением

Вредонос Petya. Экран с предупреждением

Однако несколько недель тому назад появился более изощренный вирус Mischa, судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa - содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Реклама

Реклама “пакета” вредоносов Mischa и Petya на одном из хакерских форумов

Вредонос Mischa шифрует не только стандартные типы файлов (видео, картинки, презентации, документы), но также файлы .exe. Вирус не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.


“Украинский” вариант вируса Petya

Удалить вирус Petya и Mischa c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

    . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления зловреда
    Petya и Mischa
  1. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Data Recovery Pro

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Petya и Mischa

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.


Петя, хватит

Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, ОТП Банка и ПриватБанка.

Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.

Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).

По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории Валерий Баулин отметил, что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.

Кто виноват

Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем — установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.

Взлом без правил Как Джеймс Бонд и Брэд Питт заражают пользователей сети вирусами

Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.

Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.

Не в первый раз

Требование выкупа на зараженном WanaCrypt0r 2.0 компьютере.

Требование выкупа на зараженном WanaCrypt0r 2.0 компьютере.. Фото: @dabazdyrev

Читайте также: