Злоумышленники в глобальной сети всегда готовы поживиться не только за счёт пользователей, но и за счёт друг друга. Группа хакеров нашла способ взломать приложение-вымогатель Petya и применить его в атаках на компании без ведома создателей программы. Компьютерный троян под названием PetrWrap использовался в атаках на корпоративные сети, он устанавливал Petya на компьютеры, сообщают специалисты лаборатории Касперского.
При помощи трояна хакеры применяли разные ключи шифрования вымогателя место тех, которые авторы Petya внедрили в код. Только владельцы этих ключей могут вернуть жертвам вымогателя их файлы. Троян убирает все упоминания о Petya из записки с требованием выкупа, а также логотип в виде красного черепа.
Вымогатель Petya впервые появился год назад и отличался от других подобных приложений. Вместо шифрования файлов он заменяет главную загрузочную запись диска, из-за чего операционная система не может быть запущена. Вредоносный код шифрует главную файловую таблицу. Эта таблица представляет собой специальный файл с информацией о других файлах, их именах, размерах и нахождении на секторах жёсткого диска. Содержание самих файлов не шифровалось, но без таблицы операционная система не знает, где эти файлы находятся на диске.
Таким образом, если другие вымогатели шифруют файлы определённых типов, Petya блокирует доступ ко всему компьютеру. Взломав чужой вымогатель, разработчики избавились от необходимости создавать собственный или платить за создание кому-то другому. Троян использует версию Petya 3, которая является последним вариантом программы и в ней до сих пор не найдено уязвимостей. Попав в сеть, троян собирает логины и пароли, затем применяет инструмент PsExec для распространения на компьютеры и серверы. Поскольку Petya не шифрует сами файлы, инструменты восстановления данных могут вернуть доступ к некоторым из них.