به تازگی، Ransomware یا باج افزاری که پیش از این MBR را تخریب میکرد، قادر به نصب کردن یک برنامه رمزنگاری ثانویه شده است.
به تازگی باجافزار Petya، در مواردی که نمیتواند Master Boot Record یا MSR کامپیوتر را مورد هدف قرار دهد و رمزگذاری کند، یک برنامه ی ثانویه را به صورت Bundle در سیستم قربانی اجرا میکند تا فرآیند رمزگذاری کل سیستم عامل صورت گرفته و جهت ارائه رمز مربوطه، از کاربر تقاضای پول نماید.
Petya، یک تهدید باجافزاری غیرعادی میباشد که اولین بار در ماه مارس توسط محققان امنیتی رویت گردید. این باجافزار به جای رمزگذاری مستقیم بر روی فایلهای کاربر، Master File Table یا MTF را که توسط پارتیشنهای دیسک NTFS برای نگهداری اطلاعات مربوط به نام، اندازه و موقعیت مکانی فایل بر روی دیسک فیزیکی به کار میرود، رمزگذاری مینماید. قبل از رمزگذاری MFT، این باجافزار، Master Boot Record یا به اختصار MBR را جایگزین مینماید که شامل کدی برای راهاندازی Bootloader سیستم عامل میباشد. این کار با جایگزینی کد مخرب مخصوص Petya صورت میگیرد که در نتیجه آن پیغام Ransom Note نمایش داده شده و کامپیوتر قادر به Boot کردن نخواهد بود.
البته نکته مهم آن است که جهت Overwrite کردن MBR در کامپیوتر قربانی، این بدافزار باید دسترسی Administrator Privilege داشته باشد. این فرآیند با درخواست دسترسی از کاربران از طریق مکانیسم (User Account Control (UAC در ویندوز صورت میگیرد.
در نسخههای قبلی، روند معمول آلودگی سیستم در صورت عدم دسترسی این باجافزار به Administrator Privilege متوقف میگردید. به همین دلیل یک برنامه باجافزاریِ دیگر به نام باج افزار Mischa توسط آخرین نسخه ی باج افزار Petya نصب میگردد که رمزگذاری فایلهای کاربران را به صورت مستقیم انجام داده و نیاز به دسترسی خاصی نخواهد داشت.
Lawrence Abrams اظهار داشت که برای Developerهای باجافزار، چیزی بدتر از صرف هزینه نمیباشد؛ که این موضوع دقیقا درباره باج افزار Petya رخ میدهد. باج افزار Mischa بر خلاف باج افزار Petya ، یک باج افزار استاندارد محسوب میشود که فایلهایی را رمزگذاری نموده و سپس کاربر جهت دریافت کلید رمزگشایی آن، مستلزم پرداخت هزینه میباشد.
یکی دیگر از نقاط تمایز Mischa، رمزگذاری فایلهای اجرایی (.EXE) علاوه بر اسناد، تصاویر، ویدئوها و سایر فایلهای ایجاد شده توسط کاربر که مورد توجه برنامههای باجافزاری قرار میگیرند، میباشد. Mischa این پتانسیل را داراست که برنامههای نصب شده و سیستم عامل را در یک حالت غیر کاربردی قرار داده و پرداخت هزینه جهت دریافت کد رمزگشایی را از سیستم آلوده دشوارتر سازد.
برنامه قابل نصب برای ترکیب دو باج افزار Petya و Mischa از طریق ایمیلهای اسپم توزیع میشود که به شکل درخواستهای شغلی مطرح میشوند. این ایمیلها شامل یک لینک برای سرویسهای ذخیرهسازی آنلاین میشوند که دارای یک تصویر از متقاضی و فایل اجرایی مخرب به شکل یک فایل pdf میباشد.
در صورت دانلود و اجرای این فایل pdf جعلی، در ابتدا تلاش میشود تا Petya نصب گردد که اگر موفق به انجام این کار نگردد، باج افزار Mischa را نصب خواهد کرد. بر خلاف Petya که برای آن یک ابزار کشف رمز در دسترس قرار دارد، در حال حاضر هیچ روش شناخته شدهای برای بازیابی فایلهای رمزگذاری شده توسط Mischa بدون پرداخت هزینه وجود ندارد.
