雖然勒索軟件 Petya 早前被人破解,但有資訊安全公司發現 Petya 已被改良,與另一款勒索軟件 Mischa 「合體」。當 Petya 無法加密時 Mischa 就會接力,被加密的檔案更無法還原。
安裝 Petya 需管理員權限 未必能入侵電腦
Petya 於三月被發現,程式偽裝成屨歷表寄存在 Dropbox 上並透過電郵發布。程式被執行後電腦硬碟的主開機記錄(Master Boot Record,MBR)會被覆寫,並把 Master File Table (MFT)加密。MFT 是 NTFS 硬碟系統用來儲存檔案資料的檔案。之後就會顯示紅色畫面的勒索通知,受害人亦無法進入 Windows。
雖然加密硬碟系統檔案是新穎的勒索方式,但當時的 Petya 其實帶有漏洞,使資訊安全人員成功開發程式拯救被 Petya 加密的硬碟;除此之外,Petya 修改 MBR 需要管理員權限,因此程式執行前 Windows 會彈出使用者帳戶控制(UAC)通知,如果用戶按「否」的話 Petya 就不會安裝並感染電腦。
裝不到 Petya 就裝 Mischa!
然而最近發現 Petya 已被改良,與另一款勒索軟件 Mischa 「合體」。改良版的 Petya 執行時依舊要求管理員權限,如果用戶沒有啟動 UAC,或者在 UAC 通知按「是」的話,Petya 就會安裝;不過即使用戶在 UAC 通知按「否」,電腦一樣會被感染,因為當 Petya 無法取得權限時,與之合體、無需管理員權限的 Mischa 就會接力執行。
Mischa 會把電腦的文件、圖片、影片等檔案加密,然後要求 1.93 Bitcoin 作為贖金,勒索方式與一般的勒索軟件相同。不過 Mischa 加密 exe 檔的做法較為少有,受害人的電腦亦可能因此無法執行程式,使繳付贖金變得困難。
合體版的 Petya 與舊版的傳播方式相同,都是偽裝成屨歷表引人下載,但再不會寄存在 Dropbox 上。現時 Petya 透過電郵傳播,並以德國公司的人力資源部為目標。程式為了假扮為 PDF 檔案,會把名稱改為 PDFBewerbungsmappe.exe (德文 Bewerbungsmappe 有 Application portfolio 的意思),檔案圖示亦會使用 PDF 的標誌。
Source : PC World, Threatpost
