「PetrWrap」ランサムウェアは、2016年3月に感染拡大した「Petya」をラップしたランサムウェアです。ラップとは元の機能を覆い隠して別の形でプログラムを提供する手法の事です。
この新しいPetyaトランスクリプトは、カスペルスキーのAnton Ivanov氏の3/14のツイッターに掲載されました。画像は掲載のものです。Fedor Sinitsyn氏との内部解析論文を発表されています。
ターゲットのネットワークに侵入後、Windowsの遠隔操作機能であるPsExec機能を使用してネットワーク内の全てのクライアントとサーバーにランサムウェアをインストールします。このランサムウェアは暗号化の手法に「Petya」のトランスクリプトを採用しました。PetyaのRaas(Ransomeware as a Service)を使用せずにPetyaのDllEntryPointをNOPに置き換えるパッチをかける事により、Petyaが単独動作しない状態にしてPetrWrapがコントロールするようにしました。
なぜこのようにしたかと言えば、暗号スキームを作る部分の節約をした訳です。PetyaのECDH部分を独自の実装に置き換えることで、自分達が復号の鍵をコントロールできるようになるのです。
あと、Petyaの特徴として、ハードディスクのMBRを書き換え、NTFS上のMFTを暗号化します。