Комп’ютерний вірус, який атакував Україну, – нова модифікація трояна «Petya»

Про це повідомили у Департаменті кіберполіції Національної поліції України.

Під час аналізу встановлені схожі ділянки коду, використовується той же алгоритм криптування - Salsa20 з модифікованим розширенням ключа. В першій версії «Petya» - це "expand 32 - byte k", в новій версії " - 1invalid s3ct - id". Унікальний 8-ми байтовий номер для Salsa (nonce), зберігається в секторі 32 (у старому - 55м). По зміщенню 0x21.

Перший байт 32-го сектора використовується як флаг при завантаженні - при 0 - відбувається шифрування MFT, при 1 - вивід повідомлення про оплату. Закриптований MBR зберігається в сектор 34. Криптування - xor з ключом 0x7.

Депаратмент кіберполіції звертається до всіх спеціалістів, які у складний для країни час не можуть бути осторонь від наслідків кібератаки, прийняти участь у розробці спільно з нашими фахівцями програми підбору паролей ([email protected]).