PDFBewerbungsmappe.exe ile kendini PDF aracı gbi dosyası gibi gösterip açılmasını sağlayıp yetki kazanıyor. Bununla beraber Petya yine açığa çıkıp MBR'ye kendini yazıyor. Bu şekilde hem sistemde hemde MBR'de geçilmesi zor olan bir zaralıya dönüşüyor. Bu zararlı Petya'da olduğu gibi dosyalarınızı şifreleyip sizden 1.93 BTC istiyor. USD olarak 875 dolara denk geliyor.
Zararlı dosyalarınızı .7GP3 ve benzeri karmaşık bir uzantıya dönüştürüyor.
Zararlının şifrelediği dosya uzantıları şöyle:
Zararlının çözülmesindeki zorlayıcı yanlarından biri de .exe yanı programları da şifrelemesidir.
Zararlı bu klasör içlerine kendini yazmaktadır:
Klasör içlerini YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarını yazmaktadır. Tespiti için bu dosyaları kullanabilirsiniz.
Şuan için bir çözümü bulunmamaktadır.
Zararlı dosyalarınızı .7GP3 ve benzeri karmaşık bir uzantıya dönüştürüyor.
Zararlının şifrelediği dosya uzantıları şöyle:
Kod:
.txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf, .jpg, .jpeg, .frm, .wdb, .ldf, .myi, .vmx, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdiZararlının çözülmesindeki zorlayıcı yanlarından biri de .exe yanı programları da şifrelemesidir.
Zararlı bu klasör içlerine kendini yazmaktadır:
Kod:
\Windows
\$Recycle.Bin
\Microsoft
\Mozilla Firefox
\Opera
\Internet Explorer
\Temp
\Local
\LocalLow
\ChromeKlasör içlerini YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarını yazmaktadır. Tespiti için bu dosyaları kullanabilirsiniz.
Şuan için bir çözümü bulunmamaktadır.
