勒索軟件推陳出新,入侵的方式層出不窮之餘,破壞力亦愈來愈高。Petya 就是最近發現的勒索軟件,它會扮成求職屨歷表引誘受害人下載,執行後便會把電腦的主開機紀錄(MBR)覆寫,之後電腦全部檔案就會被加密,連 Windows 安全模式也無法進入。
Petya 扮 CV 引人下載
防毒軟件公司 Trend Micro 指勒索軟件 Petya 是透過所謂的「求職電郵」傅播,裡面有一條 Dropbox 的連結,引誘受害人下載「求職者」的「屨歷」。
Dropbox 上有兩個檔案,一個是裝作屨歷表的惡意檔案,其名稱是德文,翻譯成英文就是 application_portfolio-packed.exe;另一個是「求職者」的照片,但照片其實只是從網上圖片庫中隨便找來。
當受害人把惡意檔案下載並執行後,就會為電腦植入木馬,使防毒軟件被蒙蔽,之後便會下載及執行 Petya。
Petya 竄改電腦 MBR 致無法進入 Windows
Petya 執行後會把硬碟上的主開機記錄(Master Boot Record,MBR)覆寫,導致 Windows 故障和出現藍畫面。重新啟動後便會出現一個訊息,指系統正在修復檔案,但這只是 Petya 偽造出來的。
當「修復」完成後,電腦就會顯示 Petya 紅色背景的「歡迎畫面」(如第一張圖示),按下鍵盤任何一個鍵後便會顯示訊息,告知受害人硬碟裡所有檔案已被加密,並顯示付款和解密檔案的方法; 7 天後勒索金額更會加倍。Trend Micro 亦指由於 MBR 被惡意修改,電腦連 Windows 安全模式也無法進入。
其他勒索軟件只針對特定的檔案,Petya 卻針對全部檔案。縱使如此,G Data Software 認為在檔案其實仍未被加密,只是檔案存取被限制。
Trend Micro 指利用 Dropbox 等合法的雲端空間來存放和散播惡意檔案的情況值得注意。他們已向 Dropbox 通報,Dropbox 其後已移除有關檔案。
Source : Trend Micro , G Data Software