PetrWrap Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Popularity Rank: | 19,008 |
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 78 |
| Visto pela Primeira Vez: | March 15, 2017 |
| Visto pela Última Vez: | December 2, 2025 |
| SO (s) Afetados: | Windows |
O PetrWrap Ransomware é um Trojan ransomware que parece ser derivado do Petya, um conhecido Trojan ransomware. O PetrWrap Ransomware parece ser uma versão fortemente modificada dessa ameaça, e não é provável que as mesmas pessoas do Petya criaram o PetrWrap Ransomware. O PetrWrap Ransomware está sendo usado em ataques direcionados a pequenas empresas e outras organizações.
O PetrWrap Ransomware Foi Desenvolvido Usando uma Técnica Chamada 'Wrapping'
O PetrWrap Ransomware está sendo usado para atacar redes corporativas e alvos de alto perfil para esses invasores. Os vigaristas estão usando o utilitário Windows PsExec para invadir os servidores e computadores das vítimas e, em seguida, instalar o PetrWrap Ransomware. É improvável que o PetrWrap Ransomware seja uma versão oficial do Petya. Em vez disso, é provável que um terceiro tenha tomado o código de Petya e depois o adaptado para realizar o seu próprio ataque. O Petya era um Trojan de ransomware de alto perfil que pertencia a três famílias de ransomware criadas por um grupo ou autor conhecido como Secretário Janus. Os fraudadores poderiam alugar o Petya, o GoldenEye, ou o Mischa (três variantes de ransomware) através de um site RaaS (Ransomware como um Serviço) localizado na Dark Web. Os vigaristas que alugam o acesso ao Petya recebem um binário que eles podem distribuir usando métodos diferentes.
O PetrWrap Ransomware e Trojans ransomware similares podem ser distribuídos usando campanhas de email de spam. Outro método comum para distribuir essas ameaças envolve o uso de kits de exploração e sites de ataque. No caso do Petya, quando uma infecção é realizada, a chave de criptografia e o pagamento são realizados através do Petya RaaS, já que os criadores de Petya recebem uma parte do resultado do ataque. O PetrWrap Ransomware substitui a nota de resgate do Petya Ransomware e remove a sua capacidade de se conectar ao Petya RaaS, permitindo que os trapaceiros enganem o Petya e mantenham todo o dinheiro para si. Essencialmente, o PetrWrap Ransomware é o Trojan Petya Ransomware modificado para funcionar de forma independente. Essa é uma técnica conhecida como 'quebra automática', que resulta no nome do PetrWrap Ransomware.
O Ataque do PetrWrap Ransomware é Poderoso
As pessoas que executaram o ataque do PetrWrap Ransomware removeram todas as menções ao Petya e mudaram a nota de resgate. A nota de resgate original incluía uma imagem vermelha de uma caveira, que foi removida na versão do PetrWrap Ransomware. O Petya é uma das principais famílias de ransomware atualmente ativas. O PetrWrap Ransomware bloqueia as tabelas MFT e sobregrava o Master Boot Record com um carregador personalizado. Isso torna o disco rígido da vítima completamente inacessível. O Petya é um poderoso ataque de ransomware, e o PetrWrap Ransomware realiza o que é, em essência, um ataque idêntico.
Outras Conexões entre o PetrWrap Ransomware e Outras Famílias de Ransomware
O PetrWrap Ransomware tem várias características que pertencem ao Petya, e também tem algumas semelhanças com o Samas, outro Trojan ransomware. O Samas, também conhecido como SamSam ou Kazi, é instalado pelos vigaristas manualmente, aproveitando redes não seguras e conexões fracas. O PetrWrap Ransomware é instalado de maneira semelhante. As pessoas responsáveis pelo PetrWrap Ransomware procuram servidores RDP que são inseguros e usam ataques de força bruta para comprometer esses servidores. Então, usando outras ferramentas, eles podem realizar os seus ataques assim que tiverem acesso à rede da vítima. Depois que tantos computadores quanto possível forem comprometidos, os vigaristas instalarão o PetrWrap Ransomware nesses computadores, exigindo pagamentos das vítimas. Se a empresa das vítimas não tiver backups adequados dos seus arquivos, eles podem estar dispostos a pagar grandes quantias em dinheiro para se recuperar do ataque do PetrWrap Ransomware. Os pesquisadores de segurança do PC recomendam fortemente contra o pagamento do resgate do PetrWrap Ransomware. Em vez disso, os usuários de computador são aconselhados a proteger corretamente os servidores e os pontos de acesso e sempre a ter backups off-line de todos os dados.
Relatório de análise
Informação geral
| Family Name: | Trojan.TrickBot.AA |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
130197038c2c02b9465abdccf2966211
SHA1:
06df4b24354e28ec860c2a67a27cb1a29958500b
SHA256:
55A9B423CFE16FF21B5566908F07C8CF4780C877A907D8BBF08403E26D7439B3
Tamanho do Arquivo:
1.32 MB, 1320340 bytes
|
|
MD5:
9d120cb02b06e5f51230a20aa1c7b778
SHA1:
c05920e854a1abc4f1edadb338f57c1479e8f4fa
SHA256:
0FF0743A895A02B75FF72F691C17ADAF7F9B758CCB42F8E457032AB6B8E768E9
Tamanho do Arquivo:
1.38 MB, 1381782 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has TLS information
- File is 32-bit executable
- File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
- File is either console or GUI application
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- big overlay
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 4,582 |
|---|---|
| Potentially Malicious Blocks: | 4 |
| Whitelisted Blocks: | 4,577 |
| Unknown Blocks: | 1 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Ryuk.BH
- Ryuk.BI
- Ryuk.L
- TrickBot.AA
- TrickBot.AF
Show More
- Ursnif.AI
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\downloads\meses.dat | Generic Write,Read Attributes |
