勒索软件推陈出新,入侵的方式层出不穷之余,破坏力也愈来愈高。Petya 就是最近发现的勒索软件,它会扮成求职履历表引诱受害人下载,执行后便会把电脑的主开机纪录(MBR)覆写,之后电脑全部档案就会被加密,连 Windows 安全模式也无法进入。
Petya 假扮履历表吸引人下载
防毒软件公司 Trend Micro 指勒索软件 Petya 是透过所谓的“求职电子邮件”傅播,里面有一条 Dropbox 的连结,引诱受害人下载“求职者”的“履历”。
Dropbox 上有两个档案,一个是装作履历表的恶意档案,其名称是德文,翻译成英文就是 application_portfolio-packed.exe;另一个是“求职者”的照片,但照片其实只是从网上图片库中随便找来。
当受害人把恶意档案下载并执行后,就会为电脑植入木马,使防毒软件被蒙蔽,之后便会下载及执行 Petya。
Petya 窜改电脑 MBR 致无法进入 Windows
Petya 执行后会把硬盘上的主开机记录(Master Boot Record,MBR)覆写,导致 Windows 故障和出现蓝画面。重新启动后便会出现一个讯息,指系统正在修复档案,但这只是 Petya 伪造出来的。
当“修复”完成后,电脑就会显示 Petya 红色背景的“欢迎画面”(如第一张图示),按下键盘任何一个键后便会显示讯息,告知受害人硬盘里所有档案已被加密,并显示付款和解密档案的方法; 7 天后勒索金额更会加倍。Trend Micro 亦指由于 MBR 被恶意修改,电脑连 Windows 安全模式也无法进入。
其他勒索软件只针对特定的档案,Petya 却针对全部档案。即使如此,G Data Software 认为档案其实仍未被加密,只是档案存取被限制。
Trend Micro 指利用 Dropbox 等合法的云端空间来存放和散播恶意档案的情况值得注意。他们已向 Dropbox 通报,Dropbox 其后已移除有关档案。
- PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers
- Ransomware Petya encrypts hard drives
(本文由 Unwire Pro 授权转载;首图来源:G DATA)
