Det kan vara snårigt nog att hantera en virusattack och kidnappad data. Krypteringsnycklar, anonyma nätverk, bitcoinbetalningar räcker inte för hackarna bakom viruset Petya. De låser ute sitt offer från datorn helt och hållet.
Genom att skriva över datorns gemensamma startsektor, även kallad MBR, kan operativsystemet inte startas om. Utan en fungerade MBR vet inte datorn helt enkelt inte vilken del av disken som innehåller operativsystemet eller hur det ska startas.
Viruset skickas, enligt säkerhetsforskare på Trend micro, ut via spammejl förklädda till jobbansökningar. Vilket tyder på att det är företag som är deras främsta måltavla, i synnerhet personalavdelningarna.
Läs också: Varning! Bluffmejl med ransomware utger sig för att komma från Sveriges Domstolar
Med mejlet följer en länk till en delad Dropboxmapp som innehåller information med falskt cv och foto, i ett arkiv som öppnas upp av sig självt. Laddas arkivet ner och körs installeras viruset. Kvar sitter ägaren med dödens blåa skärm, BSOD.
I normala kör Windows en felkontroll efter ett sådant stopp. Så gör även den falska MBR-koden. Det är nu viruset krypterar den databas som innehåller information om alla filer i Windows standardfilsystem, deras namn, storlek och var de ligger på hårddisken.
Petya krypterar inte filernas data i sig, något som skulle ta väldigt lång tid att göra. Men genom att kryptera databasen vet operativsystemet inte längre var filerna finns. De kan fortfarande läsas av en återställningsapplikation, men att återskapa de verkliga filerna är en mödosam process. Särskilt om de är uppdelade på flera olika lagringsblock, i olika delar av datorn.
När viruset väl är planterat dyker ett meddelande upp på skärmen. Med instruktioner om hur användaren får tillgång till krypteringsnyckeln via en sajt på det anonyma nätverket Tor och lösensumma för att slutligen kunna låsa upp filerna. Priset i de fall som upptäckts är omkring 3 500 kronor.
Läs också: Bluffmejl med Spotify som avsändare sprids i Sverige
Än så länge tycks Petya rikta in sig på företag i Tyskland. Men det är inte ovanligt att attackerna börjar i ett land, eller en region, för att sedan sprida sig vidare.
