close
企業趨勢

勒索軟件合體進化! 被破解的 Petya 與 Mischa 二合一捲土重來

雖然勒索軟件 Petya 早前被人破解,但有資訊安全公司發現 Petya 已被改良,與另一款勒索軟件 Mischa 「合體」。當 Petya 無法加密時 Mischa 就會接力,被加密的檔案更無法還原。

petya

 

安裝 Petya 需管理員權限 未必能入侵電腦

Petya 於三月被發現,程式偽裝成屨歷表寄存在 Dropbox 上並透過電郵發布。程式被執行後電腦硬碟的主開機記錄(Master Boot Record,MBR)會被覆寫,並把 Master File Table (MFT)加密。MFT 是 NTFS 硬碟系統用來儲存檔案資料的檔案。之後就會顯示紅色畫面的勒索通知,受害人亦無法進入 Windows。

雖然加密硬碟系統檔案是新穎的勒索方式,但當時的 Petya 其實帶有漏洞,使資訊安全人員成功開發程式拯救被 Petya 加密的硬碟;除此之外,Petya 修改 MBR 需要管理員權限,因此程式執行前 Windows 會彈出使用者帳戶控制(UAC)通知,如果用戶按「否」的話 Petya 就不會安裝並感染電腦。

 

裝不到 Petya 就裝 Mischa!

然而最近發現 Petya 已被改良,與另一款勒索軟件 Mischa 「合體」。改良版的 Petya 執行時依舊要求管理員權限,如果用戶沒有啟動 UAC,或者在 UAC 通知按「是」的話,Petya 就會安裝;不過即使用戶在 UAC 通知按「否」,電腦一樣會被感染,因為當 Petya 無法取得權限時,與之合體、無需管理員權限的 Mischa 就會接力執行。

Mischa 會把電腦的文件、圖片、影片等檔案加密,然後要求 1.93 Bitcoin 作為贖金,勒索方式與一般的勒索軟件相同。不過 Mischa 加密 exe 檔的做法較為少有,受害人的電腦亦可能因此無法執行程式,使繳付贖金變得困難。

合體版的 Petya 與舊版的傳播方式相同,都是偽裝成屨歷表引人下載,但再不會寄存在 Dropbox 上。現時 Petya 透過電郵傳播,並以德國公司的人力資源部為目標。程式為了假扮為 PDF 檔案,會把名稱改為 PDFBewerbungsmappe.exe  (德文 Bewerbungsmappe 有 Application portfolio 的意思),檔案圖示亦會使用 PDF 的標誌。

Source : PC World, Threatpost

 

Tags :petyaransomware
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。