Украинские киберполицейские заявили, что, исходя из анализа загрузочной части вируса, можно с высокой степенью вероятности утверждать, что это новая модификация трояна Petya.
Об этом сообщает пресс-служба ведомства.
При анализе установлены похожие участки кода, используется тот же алгоритм шифрования – Salsa20 с модифицированным расширением ключа. В первой версии Petya – это “expand 32 – byte k”, в новой версии – “1invalid s3ct – id”. “Уникальный 8-байтовый номер для Salsa (nonce), хранится в секторе 32 (в старом – 55м). По смещению 0x21”, – отметили в полиции.
“Первый байт 32-го сектора используется как флаг при загрузке – при 0 – происходит шифрование MFT, при 1 – выводится сообщение об оплате. Закриптований MBR сохраняется в сектор 34. Шифрование – xor с ключом 0x7”, – подчеркнули киберполицейские.
Вирус-вымогатель Petya, поразивший компьютеры предприятий, портовых операторов и правительственных структур Европы и США, добрался и до Азии.
Ранее сообщалось, что специалист компании Cybereason Амит Серпер (Amit Serper) нашел способ предотвратить заражение компьютеров вирусом Petya (NotPetya/SortaPetya/Petna).
Во вторник, 27 июня, в Украине начал стремительно распространяться компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий.
