Кіберполіції проаналізувала завантажувальну частину вірусу-здирника "Petya. A ", і прийшла до висновку, що це модифікована версія раніше відомого" трояна ". Фахівці детально розповіли про схожих ділянках коду.

Про це кореспонденту Української Служби Інформації розповіли в Департаменті кіберполіції НПУ.

При аналізі вірусу-здирника були виявлені схожі ділянки коду. Крім того, використовується той же алгоритм шифрування - Salsa20 з модифікованим розширенням ключа. У першій версії "Petya" - це "expand 32 - byte k", в новій версії "- 1invalid s3ct - id".

Унікальний 8-ми байтовий номер для Salsa (nonce), зберігається в секторі 32 (в старому - 55м). По зсуву 0x21.

Перший байт 32-го сектора використовується як прапор при завантаженні - при 0 - відбувається шифрування MFT, при 1 - висновок повідомлення про оплату. Закріптованний MBR зберігається в секторі 34. шифрування - xor з ключем 0x7.

Департамент кіберполіції просить всіх фахівців допомогти розробити програми підбору паролів. Зв'язатися можна через volunteer @ cyberpolice. gov. ua.