ВРЕДОНОСЫ «ПЕТЯ» (PETYA) И «МИША» (MISHA): ЧТО ПРОИСХОДИТ И ЧТО ДЕЛАТЬ В ТРЕХ СЛОВАХ?

Модель распространения отчасти аналогична WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения, которое эксплуатирует уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже по MS17-010. А вот модель шифрования — существенно изменилась. «Петя», проникая на компьютер с использованием эксплойта, заражает MBR (главная загрузочная запись) системы. А дальше в систему загружается «Миша», который шифрует файлы на диске, и требует выкуп в размере $300 за один компьютер. Так же есть модификации, когда «Петя» и «Миша» работают независимо друг от друга, в зависимости от наличия привилегий администратора системы. Есть сообщения о том, то встречалась также модель распространения, использующая вредоносные вложения с маскировкой под pdf-файлы.
Подробнее: http://www.jetinfo.ru/stati/vredonosy-petya-petya-i-misha-misha-chto-proiskhodit-i-chto-delat-v-trekh