Разбор старенького вируса Red Petya и другие семейства данного вируса

Petya написан на C/C++ и Assembly.
Для начала посмотрим как выглядиn рансом петя и другие его версии




Самый первый петя (красного цвета) начал распространяться 27 июня 2017 года, требовал он меньше 1 BTC, примерно 0.6-0.8, но после захода на .onion сайт запускался обратный отсчёт который после окончания таймера удваивал сумму которую нужно отправить человеку создавший петю aka Janus.
Данный вид пети не совсем опасен, так как его шифровка очень уязвима и проста в удалении с помощью специальных программ которые можно найти в репозитории человека с никнеймом hasherezade

Рассмотрим картинку ниже, на ней мы видим зараженный MBR/GPT. все сектора 1 по 33 зашифрованы ксором с адресом 0x37, сектор 55 также зашифрован, но он используется для верификации ключа разблокировки.


Как выглядит сектор 55 после атаки вируса пети


Бутлоадер (загрузчик) загружает петю в память через адрес 8000h
На скриншоте показан код загрузчика пети на ассемблере


В первой версии пети была уязвимость которая позволяла угадать пароль за несколько минут, для этого нужно было всего лишь 8 байтов, вместо 16 в пофикшенной версии пети. Появилась вторая версия, ничего не изменилось, и уже в третьей версии пофиксили данную ошибку, но позже Janus
слил специальные байты для получения ключа от пети, миши и GoldenEye. (их можно посмотреть здесь на строке 27)


Рассмотрим мишу и его 55 сектор. Если сравнивать его с 55 сектором от пети, то можно увидеть что они сильно отличаются, потому что в мише используется улучшенная шифровка. Интересный факт: после получения ключа разблокировки от миши вы можете навсегда потерять свои данные, т.к. Janus допустил ошибку, из-за которой разблокировка могла быть как игра "Русская рулетка". Еще один интересный факт: когда вы запускаете мишу у вас появляется окно с контролем учетных записей, в котором у вас есть выбор "Да" и "Нет". При нажатии на "Да" у вас шифруется MFT и MBR, при нажатии на "Нет" у вас шифруются все пользовательские файлы.


Goldeneye.
Данный вирус ничем не отличается от пети, только усиленная шифровка и длинный пароль (с 16 байтов на 32 байтов). Багов в нём никаких нет, функционирует также хорошо как миша/петя.

NotPetya.
Главная мразь из всех версий пети, данную версию невозможно расшифровать, она не создаёт бекапы MFT/MBR, ключ разблокировки не поможет (его не существует). Люди отправляли биткоины на адрес который был указан в вирусе, но это им не помогало. Автор данной версии до сих пор никому неизвестен.

PetrWrap.
Создатель данной версии тоже аноним. Эта версия содержит в себе ключ расшифровки и немного другой алгоритм шифровки, поэтому никто до сих пор не смог расшифровать эту серую мышь.

Janus предлагает свои услуги для заработка (человек распространяет мишу, и если жертва платит за ключ расшифровки, то человек получает определенные проценты).


Названия Mischa, Goldeneye и Petya были взяты с фильма "Золотой Глаз (1995)", Janus вдохновился этим фильмом и решил сделать такие же имена для своих вирусов :)
Все файлы шифруются через Assembly. (на самом деле шифруются не файлы, а MFT, который присутствует в NTFS (используется в 95% систем))
UPD: советую не скидывать петю вашим друзьям, потому что он работает на MBR и GPT при включенном легаси буте, а Intel перестала поддерживать легаси бут после 2020 года.