«Сворованная» версия вымогателя Petya атакует организации

Эксперты из Лаборатории Касперского нашли новую версию троянского коня, использующего криптора Petya для того, чтобы атаковать бизнесменов. Главная фишка вируса, который был назван PetrWrap, это то, что он «украл» первичного вредоноса без соглашения с его программистами.

Ветка крипторов Petya существует путем аренды, а для того, чтобы троянского коня было невозможно угнать, девелоперы встроили в него большое количество защит, обфускаций кодов и прочих ловушек, что не спасло от программистов PetrWrap, которым удалось украсть софт.

По этой причине новая версия вируса пользуется собственными типами и ключами шифрования вместо тех, которые установлены по умолчанию в Petya, что дает возможность программистам PetrWrap не просить помощи их коллег.

Кроме этого, PetrWrap переписывает исходник загрузчика Petya и объявление с шантажом затем чтобы отключить анимационные эффекты (череп) и скрыть всю информацию от Petya. Вирус Petya имеет сильный алгоритм криптографии, который практически невозможно декриптовать, однако, прошлые версии червя имели несколько критических ошибок, которые позволяли программистам восстанавливать криптованные файлы. Впрочем, эти ошибки в новых версия Petya устранены.

Аналитик Касперского Антон Иванов сообщил о том, что сейчас происходит интересное время, когда хакеры атакуют хакеров. По сути это может обернуться в пользу борцов с хакерами, потому что происходит различная конкуренция в рядах противников и атаки на целевых пользователей будут вестись в меньшем и менее эффективном объеме.