Lunnaita vaativa haittaohjelma nostaa panoksia, Petya kryptaa koko koneen

Tietokoneen henkilökohtaiset tiedostot panttivangiksi kaappaavat, lunnaita vaativat haittaohjelmat lienevät jo kaikille tuttuja. Nyt kehään on astunut samalla saralla uusi tulokas, joka nostaa panoksia entisestään.

Petyaksi ristitty haittaohjelma ei tyydy henkilökohtaisten tiedostojen kryptaamiseen, vaan se ylikirjoittaa tietokoneen pääboottisektorin (MBR, Master Boot Record) omalla versiollaan. Tämän jälkeen se pakottaa tietokoneen kaatumaan, ja uudelleenkäynnistyksen yhteydessä peukaloitu MBR kryptaa kaikki tietokoneen tiedostot. Käyttäjä ei voi sen jälkeen käynnistää Windowsia edes vikasietotilassa, vaan häntä tervehtii punaisella pohjalla pääkallo, jota seuraa ohjeet purkuavaimen saamiseksi yhden BitCoinin hintaan.

Petya näyttäisi Trend Micron havaintojen perusteella hakevan kohteekseen yrityksiä. Levittäjä lähettää yrityksen työntekijälle sähköpostin, joka vaikuttaa normaalilta työhakemukselta. Hakemuksessa linkataan DropBox-kansioon, josta löytyy ansioluetteloksi naamioitunut itsepurkautuva haittaohjelma, sekä hakijan kuva. Kun ansioluetteloksi naamioitu haittaohjelma suoritetaan, se saastuttaa koneen ja ylikirjoittaa MBR:n. DropBox on jo poistanut kyseisen käyttäjän tilin palvelustaan, mutta mikään ei estä haittaohjelman suunnittelijaa yrittämästä samaa uudelleen uudella tilillä tai eri palvelun kautta.