「PetrWrap」「.Petya」ランサムウェア


「PetrWrap」ランサムウェアは、2016年3月に感染拡大した「Petya」をラップしたランサムウェアです。ラップとは元の機能を覆い隠して別の形でプログラムを提供する手法の事です。

この新しいPetyaトランスクリプトは、カスペルスキーのAnton Ivanov氏の3/14のツイッターに掲載されました。画像は掲載のものです。Fedor Sinitsyn氏との内部解析論文を発表されています。

ターゲットのネットワークに侵入後、Windowsの遠隔操作機能であるPsExec機能を使用してネットワーク内の全てのクライアントとサーバーにランサムウェアをインストールします。このランサムウェアは暗号化の手法に「Petya」のトランスクリプトを採用しました。PetyaのRaas(Ransomeware as a Service)を使用せずにPetyaのDllEntryPointをNOPに置き換えるパッチをかける事により、Petyaが単独動作しない状態にしてPetrWrapがコントロールするようにしました。

 なぜこのようにしたかと言えば、暗号スキームを作る部分の節約をした訳です。PetyaのECDH部分を独自の実装に置き換えることで、自分達が復号の鍵をコントロールできるようになるのです。

 あと、Petyaの特徴として、ハードディスクのMBRを書き換え、NTFS上のMFTを暗号化します。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ