(Foto: Trend Micro)

Petya

Utpressingsvare krypterer filsystemet

Hindrer oppstart av Windows og tilgang til filene.

Trend Micro kunngjorde i påsken at selskapet har oppdaget en ny type utpressingsvare som ikke bare tar enkeltfiler som gissel, men som krypterer overskriver oppstartssektoren (MBR – Master Boot Record), slik at det ikke er operativsystemet til pc-en som startes opp når pc-en skrus på, men i stedet et blinkende skjermbilde med et dødninghode.

Dette vises dog først når pc-en startes på nytt. Men overskrivningen av MBR får Windows til å krasje.

Via den blinkende skjermen kan brukeren komme til instruksjoner om hvordan pc-en kan låses opp igjen. Dette innebærer å besøke et Tor-nettsted og å kjøpe en krypteringsnøkkel, som deretter kan tastes inn på pc-en.

I utgangspunktet er prisen på 0,99 bitcoin (drøyt 3500 kroner), men prisen dobles tilsynelatende for hver uke som går.

Filsystemet

Trend Micro opplyser ikke hva det egentlig er som blir kryptert av Petya, men ifølge Bleeping Computer er det Master File Table (MFT) som blir kryptert. Denne tabellen inneholder oversikten over hvor på disken filene er lagret, og uten denne oversikten kan ikke filene gjenfinnes.

Selv innholdet i filene blir tilsynelatende ikke kryptert, men uten noen oversikt over hvor og hvordan dataene er distribuert på lagringsenheten, kan det være svært vanskelig å gjenskape informasjonen.

I likhet med mye annen skadevare, distribueres Petya via lenker som er oppgitt i e-post sendt til ofrene. Det uvanlige i dette tilfellet er at selve skadevaren har vært lagret hos Dropbox, altså en legitim nedlastingstjeneste. Ofte lastes skadevaren ned fra helt ukjente tjenester eller fra andre pc-er som angriperne har kontroll over.

Exe-fil

I det nye tilfellet, er Petya en del av en Dropbox-mappe som kan se ut som en CV eller en jobbsøknad. Den inneholder et fotografi og en kjørbar fil (.exe). Det er den kjørbare filen som utgjør selve skadevaren, og det kreves at brukeren faktisk starter denne.

Til tross for at det strider mot alle råd om IT-sikkerhet, vil det alltid være noen pc-brukere som starter ukjente, kjørbare filer. Disse blir lett ofre for slik skadevare.

Ifølge Trend Micro har Dropbox fjernet de aktuelle filene. Det skal også være innført prosedyrer som skal kunne stoppe lignende aktivitet i framtiden.

Til toppen