«Миша»: лучший друг «Пети» и еще один троянец-вымогатель

Инсталлятор шифровальщика «Пети» теперь содержит еще одного троянца, и оба зловреда работают в паре.

Вымогатель Petya обзавелся подельником Mischa

[Обновлено 28 июня 2017]

Петя и Миша — лучшие друзья. Обычно они все делают вместе. И да — вы читаете не сказку для маленьких детей, а блог «Лаборатории Касперского». Поэтому «Петя» и «Миша» — это троянцы-вымогатели, которые работают в паре и поставляются в одном инсталляционном пакете.

Если вы постоянно читаете наш блог и следите за происходящим в мире кибербезопасности, то вы уже знаете о «Пете». Этой весной мы опубликовали два поста — в одном мы объясняли, что это за шифровальщик и как он работает, а в другом рассказали о декрипторе за авторством пользователя Twitter с никнеймом Leostone, позволяющем расшифровать файлы, до которых добрался «Петя».

«Петя» с самого начала был необычным творением: в отличие от других троянцев-вымогателей, он шифровал не файлы с конкретными расширениями, а главную таблицу файлов, тем самым делая весь жесткий диск целиком непригодным для использования. Так что для уплаты выкупа жертвам «Пети» нужен был другой компьютер.

Для своих грязных делишек «Пете» нужны права администратора. Если пользователь не выдает их троянцу, кликнув по соответствующей кнопке, «Петя» становится бессилен. Очевидно, создателей троянца это не устраивало, и они придумали «Пете» подельника — «Мишу».

У «Пети» и «Миши» есть два ключевых отличия. «Петя» может лишить жертву жесткого диска целиком, в то время как «Миша» шифрует только определенные файлы. С другой стороны, «Пете» нужны права администратора, а вот «Мише» — нет. Плохие парни решили, что из этой парочки выйдут отличные напарники, дополняющие друг друга.

«Миша» больше похож на традиционного троянца вымогателя. Он использует стандарт AES для шифрования данных на компьютере жертвы. В блоге Bleeping Computer говорится, что троянец добавляет расширение из четырех символов к имени зашифрованного файла. Таким образом, например, файл «test.txt» становится «test.txt.7GP3».

У «Миши» неуемный аппетит — он шифрует огромное количество разных файлов, в том числе и .exe. Таким образом новый троянец не позволяет пользователям запустить какую-либо программу на компьютере. За одним исключением: в процессе шифрования «Миша» игнорирует папку Windows и папки, содержащие файлы браузеров. Закончив с шалостями, «Миша» создает два файла, содержащие инструкции по уплате выкупа. Называются они так: YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

«Петя» и «Миша» попадают на компьютеры жертв с помощью фишинговых email, притворяющихся письмами от кандидатов с «резюме» во вложении. Например, троянец был обнаружен в файле с названием PDFBewerbungsmappe.exe (с немецкого это можно перевести как «PDF-заявка на работу»). Использование немецкого языка в имени файла и то, как распространяется зловред, подсказывают: целью преступников являются немецкоговорящие компании и корпорации.

После того как жертва попытается открыть .exe-файл, содержащий неразлучную парочку, на экране появится окно службы контроля учетных записей пользователей и спросит, точно ли пользователь хочет предоставить этой программе привилегии администратора.

Что бы ни выбрал пользователь, он уже проиграл: если он ответит «да», то за его жесткий диск возьмется «Петя», если «нет», то его файлы украдет «Миша».

Как мы уже говорили, младший брат «Пети» — жадный тип: в качестве выкупа он требует почти 2 биткойна (1,93), что на данный момент эквивалентно примерно $875.

Стоит отметить, что создатели мерзкого дуэта вряд ли являются выходцами из русскоговорящих стран: хотя оба троянца носят русские имена, в оригинале «Мишу» зовут Mischa, а не Misha. Буква «c» в середине подсказывает, что авторы шифровальщика недостаточно хорошо знакомы с правилами транслитерации русских имен.

К сожалению, пока еще никто не придумал инструмента, который бы помог жертвам «Миши». Есть способ восстановить файлы, обработанные «Петей», однако для этого понадобятся запасной ПК и опыт работы с компьютером.

Таким образом, чтобы не стать жертвой «Пети», «Миши» или какого-нибудь новенького «Васи», мы рекомендуем вам следующее:

1. Делайте резервные копии, причем как можно чаще и тщательнее. Если вы вовремя забэкапите свои файлы, то сможете послать кибервымогателей… куда захотите.

2. Никому не верьте и всегда помните о возможных угрозах. Резюме этого кандидата имеет расширение .exe? М-м-м, выглядит очень подозрительно… Не стоит его открывать. Лучше быть осторожным, чем потерять все рабочие файлы.

3. Установите хорошее защитное решение. Kaspersky Internet Security предоставляет многослойную защиту от вымогателей, которую не преодолеть ни «Мише», ни «Пете», ни их собратьям-шифровальщикам (если, конечно, вы сами не отключите антивирус).

Наши решения идентифицируют «сладкую парочку» Mischa и Petya как Trojan-Ransom.Win32.Mikhail и Trojan-Ransom.Win32.Petr и обезвреживают их. Встроенный компонент «Мониторинг активности» обнаруживает все подозрительные операции, такие как шифрование большого количества файлов, и блокирует их. А Kaspersky Total Security умеет все вышеперечисленное и, сверх того, может автоматически создавать резервные копии важных файлов.

Обновление от 28 июня 2017

Если вы ищете информацию о новой волне заражений шифровальщиком Petya / NotPetya / ExPetr, то про него у нас есть отдельный пост с советами, как защититься.

Советы