24/05/2016

Mischa: znajomy Petyi i kilku innych programów ransomware z całego świata

Zagrożenia

Petya i Mischa to znajomi. Zazwyczaj robią wszystko razem….

Och, zaraz, to nie książka z gatunku „Rosyjski dla opornych”, to blog Kaspersky Daily! Zatem można śmiało napisać tak: Petya i Mischa to programy żądające okupu, które użytkownik „dostaje” razem, w pakiecie.

mischa-ransomware-fb

Jeśli często odwiedzasz nasz blog lub jeśli regularnie czytujesz wiadomości ze świata cyberprzestępczego, prawdopodobnie wiesz, czym jest Petya. Poświęciliśmy temu zagrożeniu nieco miejsca, ponieważ kilka tygodni po pojawieniu się zagrożenia Petya użytkownik Twittera @leo_and_stone utworzył dla niego dekryptor.

Program Petya wyróżnił się z tłumu, ponieważ nie tylko szyfrował wybrane rodzaje plików, ale także plik Master File Table dysku twardego komputera, przez co uniemożliwiał odczytanie jego całej zawartości. To dlatego każdy użytkownik, który padnie ofiarą Petya, potrzebuje drugiego komputera w celu zapłacenia okupu. Chociaż leo_and_stone utworzył narzędzie deszyfrujące, ofiary Petya wciąż potrzebowały drugiego komputera, aby odszyfrować swoje pliki bez płacenia okupu.

Poznaj Mischę

Aby rozpocząć swoją brudną robotę, Petya wymaga uzyskania uprawnień na poziomie administratora. Jeśli użytkownik nie zgodzi się na nadanie tych przywilejów, klikając przycisk „Tak”, zagrożenie nie wyrządza szkody na jego komputerze. Mimo to autorzy dołączyli do niego inny program ransomware, również o rosyjskobrzmiącej nazwie — Mischa.

Petya i Mischa różnią się pod dwoma względami: Petya pozbawia dostępu do całego dysku twardego, a Mischa szyfruje tylko określone rodzaje plików — i to jest prawdopodobnie dobra wiadomość. Zła jest taka, że w przeciwieństwie do swojego „kolegi” Mischa nie wymaga posiadania uprawnień administratora. Wygląda więc na to, że w zamyśle twórców Petya i Mischa mają się uzupełniać.

Mischa bardziej przypomina zwykłe programy ransomware, które regularnie pojawiają się na arenie zagrożeń. Używa szyfrowania AES i zajmuje pliki na komputerze. Jak zauważa blog Bleeping Computer, do szyfrowanych plików dodaje on czteroznakowe rozszerzenie: na przykład plik test.txt staje się test.txt.7GP3.

Lista rodzajów plików infekowanych przez Mischę jest naprawdę długa; znajdują się na niej nawet pliki .exe, co oznacza, że użytkownicy nie mogą uruchamiać żadnych programów. Jednak podczas szyfrowania Mischa pomija foldery należące do systemu Windows i zainstalowanych przeglądarek. Po wykonaniu swojej czarnej roboty tworzy dwa pliki z instrukcjami dotyczącymi płatności: YOUR_FILES_ARE_ENCRYPTED.HTML i YOUR_FILES_ARE_ENCRYPTED.TXT.

Petya i Mischa są dystrybuowane za pośrednictwem wiadomości phishingowych udających aplikacje do pracy. Gdy malware Mischa został wykryty, znajdował się w pliku PDFBewerbungsmappe.exe (w języku niemieckim oznacza to „dokumenty aplikacyjne PDF”). Użycie języka niemieckiego w nazwie pliku oraz sposób rozprzestrzeniania się tego ransomware wskazuje na to, że jego głównym celem były niemieckojęzyczne przedsiębiorstwa.

Gdy użytkownik będzie próbować otworzyć plik .exe, który zawiera zarówno szkodnika Mischa, jak i Petya, pojawi się okno Kontrola konta użytkownika z prośbą o nadanie uprawnień na poziomie administratora dla tego programu. To jedna z tych nieprzyjemnych chwil, gdy oba wybory są złe. Jeśli użytkownik wybierze „Tak”, instalowany jest Petya. Po wybraniu „Nie” instalowany jest Mischa.

Mischa jest bardziej chciwy niż Petya: żąda około 1,93 bitcoinów okupu, czyli około 875 dolarów. Petya żąda 0,9 bitcoina.

Petya to wyraz rosyjski. Mischa także z pozoru wydaje się być w tym języku, ale tak nie jest; osoba mówiąca językiem rosyjskim użyłaby Misha, bez „c” w środku — bo z „c” brzmi nieco dziwnie!

Niestety jeszcze nikt jeszcze nie udostępnił narzędzi deszyfrujących dla Mischy. Petya wprawdzie posiada jedno, ale jego uruchomienie wymaga dodatkowego komputera i określonych umiejętności.

A zatem, aby nie paść ofiarą Petyi lub Misсhy, albo innych zagrożeń takich jak Vasya, SuperCrypt, El Rapto itp., zalecamy stosowanie się do poniższych wskazówek:

  1. Twórz kopie zapasowe. Rób to często i starannie. Posiadanie aktualnych kopii zapasowych swoich plików może być bardzo przydatne.
  2. Nie ufaj nikomu i dokształcaj się.Aplikacja o pracę ma rozszerzenie .exe? Podejrzana sprawa — lepiej jej nie otwieraj.
  3. Zainstaluj dobry produkt zabezpieczający.Kaspersky Internet Security działa wielowarstwowo, więc Mischa czy jakieś inne ransomware się nie przedostanie.

Kaspersky Internet Security posiada moduł chroniący przed spamem i phishingiem. Posiada też antywirusa, który wykrywa Mischę i Petyę, występujące pod nazwą Trojan-Ransom.Win32.Mikhail i Trojan-Ransom.Win32.Petr. Posiada także funkcję Kontrola systemu, która wykrywa nietypową aktywność (np. próby szyfrowania wielu plików) i blokuje ją. Z kolei Kaspersky Total Security posiada wszystkie wspomniane funkcje i dodatkowo narzędzie służące do automatycznego tworzenia kopii zapasowych.