Вирус-вымогатель «Петя» полностью шифрует жесткий диск ПК

Выявленный троян является вирусом нового типа. Он относится к вирусам-вымогателям, требуя от пользователя деньги за ключ, с помощью которого тот сможет получить доступ к данным обратно.

Зловред имеет названия Petya («Петя»). Атака злоумышленников, которые используют его в настоящее время, направлена на коммерческие организации в странах, в которых говорят на немецком языке. Вирус попадает на ПК сотрудника компании через ссылку в электронном письме, рассылаемом злоумышленниками. Ссылка ведет на EXE-файл в облаке Dropbox, замаскированный под резюме (его имя в переводе с немецкого языка — application_portfolio-packed.exe).

После того как пользователь запускает файл, на ПК возникает сбой (он сопровождается «синим экраном смерти»), после чего происходит перезагрузка. При загрузке сразу же запускается якобы утилита CHKDSK, которая проверяет ошибки на диске. Пользователь видит предупреждение, что процесс проверки может занять несколько часов, и пользователь в это время ни в коем случае не должен выключать компьютер, иначе все данные будут уничтожены.

В действительности перед перезагрузкой ПК вирус Petya модифицирует загрузочный сектор диска Master Boot Record (MBR) для того, чтобы в дальнейшем иметь возможность управлять процессом загрузки. После этого действительно происходит перезагрузка ПК, но затем запускается не CHKDSK, а вирус начинает свою работу — шифрование всех данных на накопителе (этот процесс как раз занимает несколько часов).

После завершения процесса фон экрана окрашивается в красный цвет, появляется изображение черепа и пользователь получает уведомление, что он стал жертвой вируса Petya. Что все его данные на диске зашифрованы, и чтобы вновь получить к ним доступ, необходимо «выполнить три простых шага»: скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Пользователю отводится на это семь дней. После чего — обещает вирус — необходимая к уплате сумма будет удвоена.