Киберполиция проанилизировала загрузочную часть вируса-вымогателя
Киберполиция проанализировала загрузочную часть вируса-вымогателя «Petya.A», и пришла к выводу, что это модифицированная версия ранее известного «трояна». Специалисты подробно рассказали о схожих участках кода.
Об этом корреспонденту Украинской Службы Информации рассказали в Департаменте киберполиции НПУ.
При анализе вируса-вымогателя были выявлены похожие участки кода. Кроме того, используется тот же алгоритм шифрования – Salsa20 с модифицированным расширением ключа. В первой версии “Petya” – это “expand 32 – byte k”, в новой версии “- 1invalid s3ct – id”. Уникальный 8-ми байтовый номер для Salsa (nonce), хранится в секторе 32 (в старом – 55м). По смещению 0x21.
Первый байт 32-го сектора используется как флаг при загрузке – при 0 – происходит шифрование MFT, при 1 – вывод сообщения об оплате. Закриптованный MBR сохраняется в секторе 34. шифрования – xor с ключом 0x7.
Департамент киберполиции просит всех специалистов помочь разработать программы подбора паролей. Связаться можно через volunteer@cyberpolice.gov.ua.
Как сообщала USIonline.com, киберполиция рассказала, как проник вирус-вымогатель.