close
企業趨勢資訊保安

小心 Dropbox 播毒! 勒索軟件攻擊電腦隨時無法開機

勒索軟件推陳出新,入侵的方式層出不窮之餘,破壞力亦愈來愈高。Petya 就是最近發現的勒索軟件,它會扮成求職屨歷表引誘受害人下載,執行後便會把電腦的主開機紀錄(MBR)覆寫,之後電腦全部檔案就會被加密,連 Windows 安全模式也無法進入。

petya

 

Petya 扮 CV 引人下載

防毒軟件公司 Trend Micro 指勒索軟件 Petya 是透過所謂的「求職電郵」傅播,裡面有一條 Dropbox 的連結,引誘受害人下載「求職者」的「屨歷」。

Dropbox 上有兩個檔案,一個是裝作屨歷表的惡意檔案,其名稱是德文,翻譯成英文就是 application_portfolio-packed.exe;另一個是「求職者」的照片,但照片其實只是從網上圖片庫中隨便找來。

當受害人把惡意檔案下載並執行後,就會為電腦植入木馬,使防毒軟件被蒙蔽,之後便會下載及執行 Petya。

 

Petya 竄改電腦 MBR 致無法進入 Windows

Petya 執行後會把硬碟上的主開機記錄(Master Boot Record,MBR)覆寫,導致 Windows 故障和出現藍畫面。重新啟動後便會出現一個訊息,指系統正在修復檔案,但這只是 Petya 偽造出來的。

petya-processing

 

當「修復」完成後,電腦就會顯示 Petya 紅色背景的「歡迎畫面」(如第一張圖示),按下鍵盤任何一個鍵後便會顯示訊息,告知受害人硬碟裡所有檔案已被加密,並顯示付款和解密檔案的方法; 7 天後勒索金額更會加倍。Trend Micro 亦指由於 MBR 被惡意修改,電腦連 Windows 安全模式也無法進入。

petya-ransomnote

 

其他勒索軟件只針對特定的檔案,Petya 卻針對全部檔案。縱使如此,G Data Software 認為在檔案其實仍未被加密,只是檔案存取被限制。

Trend Micro 指利用 Dropbox 等合法的雲端空間來存放和散播惡意檔案的情況值得注意。他們已向 Dropbox 通報,Dropbox 其後已移除有關檔案。

Source : Trend Micro , G Data Software

 

Tags :petyaransomware
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。