Petya/Mischa - инсталлятор для трояна-шифровальщика Petya и вымогательского ПО Mischa


Petya/Mischa (Bleeping Computer) - модифицированная версия трояна-шифровальщика Petya, распространяющаяся с вымогательским ПО Mischa.

Новый инсталлятор Petya, в случае невозможности получить права администратора, осуществляет установку дополнительного вымогательского ПО Mischa. Стоит напомнить, что раньше, после установки, Petya запрашивал права администратора с целью изменить главную загрузочную запись, в случае неудачи инсталлятор бездействовал. Новая модификация Petya если не может получить права администратора, то устанавливает на компьютер жертвы вредоносное ПО Mischa.

Распространяется инсталлятор Petya/Mischa при помощи фишинговых писем, которые содержат ссылку на облачный сервис наподобие MagentaCloud. Ссылка ведет на фотографию предполагаемого претендента на работу, а также на исполняемый файл, замаскированный под резюме в формате PDF. После запуска жертвой исполняемого файла с именем наподобие PDFBewerbungsmappe.exe, инсталлятор пытается получить права администратора для изменения главной загрузочной записи. В случае если ему это не удается, то устанавливается не требующее подобных прав вымогательское ПО Mischa.

После инфицирования системы, вредонос сканирует компьютер и шифрует хранящиеся на нем файлы с помощью алгоритма AES, добавляя к их имени четырехзначное расширение. Например, test.jpg может стать test.jpg.7GP3. Помимо стандартных типов файлов (PNG, JPG, DOCX и пр.), Mischa также шифрует файлы .EXE. Вредонос не шифрует файлы, которые находятся в следующих паках:

  • \Windows;
  • \$Recycle.Bin;
  • \Microsoft;
  • \Mozilla Firefox;
  • \Opera;
  • \Internet Explorer;
  • \Temp;
  • \Local;
  • \LocalLow;
  • \Chrome.


За расшифровку файлов вымогательское ПО требует от жертвы выкуп в размере 1,93 биткойна (порядка $875).