Исходя из анализа загрузочной части вируса, можно с высокой степенью вероятности утверждать, что это новая модификация трояна Petya, сообщает пресс-служба Департамента киберполиции Национальной полиции Украины в Facebook, передает avdeevka.city.
«Во время анализа установлены похожие участки кода, где используется тот же алгоритм шифрования — Salsa20 с модифицированным расширением ключа», — говорится в сообщении.
Специалисты по кибербезопасности добавляют, что в первой версии Petya — это «expand 32 — byte k», а в новой версии — «1invalid s3ct — id». Уникальный восьмибайтный номер для Salsa (nonce), хранится в секторе 32 (в старом — 55м). По смещению 0×21.
«Первый байт 32-го сектора используется как маяк при загрузке — при 0 — происходит шифрование MFT, при 1 — вывод сообщения об оплате. Закриптованный MBR сохраняется в сектор 34. Шифрование — xor с ключом 0×7», — информирует Киберполиции.
Кроме этого, правоохранители обращаются ко всем специалистам с предложением принять участие в разработке совместной со специалистами Департамента программы подбора паролей.
