幾位安全研究人員剛檢測到一種新型勒索軟體。它被稱為“Petya”,它不僅可以加密個人數據,還可以完全阻止對電腦的存取。顯然,用戶無法再啟動 Windows,除非他支付約 1 比特幣(或 367 歐元)的贖金。駭客似乎主要針對企業。惡意軟體透過發送給人力資源部門的電子郵件到達。這是用德語編寫的範例。
閱讀:NVIDIA 應用程式在遊戲中降低了 FPS,以下是恢復效能的方法
該訊息看起來像是一個自發的應用程序,最後有一個 Dropbox 鏈接,收件人可以在其中下載簡歷。正如波蘭研究人員 Hasherezade 所解釋的那樣,後者實際上是一個惡意可執行文件,它將分兩個階段感染電腦。
我正在分享一些關於#佩蒂亞 #勒索軟體(工作正在進行中)pic.twitter.com/XgRO2ScdBQ
— hasherezade (@hasherezade)2016 年 3 月 28 日
在第一階段,Petya 將覆寫磁碟的開頭,特別是允許電腦啟動的主開機記錄 (MBR)。同時,它對分割表進行加密備份。加密並不是很複雜:它只是 XOR 編碼。因此,在現階段,損害並非不可克服。使用者可以從電腦中提取磁碟,透過另一個作業系統(例如Linux)安裝它們並製作完整的備份副本。
在第二階段,事情變得複雜。覆蓋 MBR 後,惡意軟體會導致藍屏死機並重新啟動電腦。然後會顯示一個模擬磁碟檢查 (CHKDSK) 的畫面。實際上,惡意軟體正在修改電腦的檔案系統並部分加密其內容。隨後,會顯示一個頭骨,然後是解釋如何支付贖金的訊息。在此階段,不再可能存取數據,至少不能以簡單的方式存取。與駭客聲稱的相反,「磁碟完全加密是不正確的。如果我們使用取證分析工具,我們會看到很多有效元素,包括文字””,哈謝爾札德強調。
駭客使用 Dropbox 傳播惡意軟體這一事實非常聰明。一方面,這可以防止他們在電子郵件中包含附件,以免被防毒軟體偵測到。此外,Dropbox 在商業上相當有名,最重要的是,它是一個不會在防火牆層級造成阻塞的 Web 網域。這是一個信任的領域。
「除了使用 Dropbox 連結之外,駭客還轉向使用更有效的社會工程技術。到目前為止,流行的做法是用假髮票付款。由於資訊中繼,特別是媒體,這種技術已經失去了效力,虛假應用技術非常出色。還有什麼比收到一封附有申請電子郵件 Word 文件的電子郵件或透過連結下載的履歷更正常的呢?還有什麼比你不認識的人自發性提出申請更正常的事呢?此外,申請公司的電子郵件地址通常在其網站上公開,並在內部分發給許多人。可以肯定的是,我們很快就會發現使用這種傳播技術的勒索軟體浪潮”Vade Retro Technology 的生產和網路犯罪經理 Florian Coulmier 解釋道。
因此,我們可以給的一條建議是永遠不要從未知來源下載檔案。如果這是不可能的,出於像這裡這樣的專業原因,有必要想像一個允許安全下載文件的設備,例如在不包含重要數據的專用且斷開連接的機器上,或者在虛擬機上。
4 月 4 日更新:Dropbox 公司希望指出,它已盡快刪除了導致該惡意軟體的鏈接,並且非常嚴肅地對待這種濫用其服務的行為。「一個專門的團隊持續致力於監控和防止任何對 Dropbox 的詐欺性使用。儘管這些攻擊與 Dropbox 安全漏洞無關,但調查正在進行中,並已製定程序,以便在這些非法活動發生後立即主動制止。此外,我們最近也發布了一篇文章關於採取保障使用者網路安全的建議。 »
