几位安全研究人员刚刚检测到一种新型勒索软件。它被称为“Petya”,它不仅可以加密个人数据,还可以完全阻止对计算机的访问。显然,用户无法再启动 Windows,除非他支付大约 1 比特币(或 367 欧元)的赎金。黑客似乎主要针对企业。恶意软件通过发送给人力资源部门的电子邮件到达。这是用德语编写的示例。
该消息看起来像是一个自发的应用程序,最后有一个 Dropbox 链接,收件人可以在其中下载简历。正如波兰研究人员 Hasherezade 所解释的那样,后者实际上是一个恶意可执行文件,它将分两个阶段感染计算机。
我正在分享一些关于#佩蒂亚 #勒索软件(工作正在进行中)pic.twitter.com/XgRO2ScdBQ
— hasherezade (@hasherezade)2016 年 3 月 28 日
在第一阶段,Petya 将覆盖磁盘的开头,特别是允许计算机启动的主引导记录 (MBR)。同时,它对分区表进行加密备份。加密并不是很复杂:它只是 XOR 编码。因此,在现阶段,损害并非不可克服。用户可以从计算机中提取磁盘,通过另一个操作系统(例如Linux)安装它们并制作完整的备份副本。
在第二阶段,事情变得复杂。覆盖 MBR 后,恶意软件会导致蓝屏死机并重新启动计算机。然后会显示一个模拟磁盘检查 (CHKDSK) 的屏幕。实际上,恶意软件正在修改计算机的文件系统并部分加密其内容。随后,会显示一个头骨,然后是一条解释如何支付赎金的消息。在此阶段,不再可能访问数据,至少不能以简单的方式访问。与黑客声称的相反,“磁盘完全加密是不正确的。如果我们使用取证分析工具,我们会看到很多有效元素,包括文本””,哈谢尔扎德强调。
黑客使用 Dropbox 传播恶意软件这一事实非常聪明。一方面,这可以防止他们在电子邮件中包含附件,以免被防病毒软件检测到。此外,Dropbox 在商业上相当有名,最重要的是,它是一个不会在防火墙级别造成阻塞的 Web 域。这是一个信任的领域。
“除了使用 Dropbox 链接之外,黑客还转向使用更有效的社会工程技术。到目前为止,流行的做法是用假发票付款。由于信息中继,特别是媒体,这种技术已经失去了效力,虚假应用技术非常出色。还有什么比收到一封附有申请电子邮件 Word 文档的电子邮件或通过链接下载的简历更正常的呢?还有什么比你不认识的人自发提出申请更正常的事情呢?此外,申请公司的电子邮件地址通常在其网站上公开,并在内部分发给许多人。可以肯定的是,我们很快就会发现使用这种传播技术的勒索软件浪潮”Vade Retro Technology 的生产和网络犯罪经理 Florian Coulmier 解释道。
因此,我们可以给出的一条建议是永远不要从未知来源下载文件。如果这是不可能的,出于像这里这样的专业原因,有必要想象一个允许安全下载文件的设备,例如在不包含重要数据的专用且断开连接的机器上,或者在虚拟机上。
4 月 4 日更新:Dropbox 公司希望指出,它已尽快删除了导致该恶意软件的链接,并且非常严肃地对待这种滥用其服务的行为。“一个专门的团队持续致力于监控和防止任何对 Dropbox 的欺诈性使用。尽管这些攻击与 Dropbox 安全漏洞无关,但调查正在进行中,并已制定程序,以便在这些非法活动发生后立即主动制止。此外,我们最近还发布了一篇文章关于采取保障用户互联网安全的建议。 »
🔴为了不错过任何01net新闻,请关注我们谷歌新闻等WhatsApp。
