close
企業趨勢資訊保安

撒旦化身勒索軟件帶來災難! 開機檔案、普通文件一次過加密

眾多勒索軟件之中,Petya 憑紅底白字的骷髏頭以及獨特的加密方式而為人熟識。最近有研究人員發現一款類似 Petya 的勒索軟件 Satana,會像 Petya 般加密硬碟主開機記錄,使電腦無法啟動。

satan

 

繼 Petya 後又有勒索軟件加密 MBR

Satana 是「撒旦」的意大利文。該款勒索軟件與 Petya 最相似的地方是,兩者都會破壞硬碟原有的主開機記錄(MBR),使電腦無法進入 Windows。 Satana 執行後,當電腦重新啟動時就會顯示勒索通知。不過技術上 Satana 與 Petya 仍有不同之處。Petya 在安裝時會造成藍畫面以及加密硬碟的 Master File Table (MFT),但 Satana 不會。

boot_screen

 

Petya 於五月開始與另一勒索軟件 Mischa 合併,使它兼備破壞主開機記錄以及加密一般檔案的能力,Satana 亦一樣,可把文件和圖片檔等常見的檔案加密。不過 Petya 只會在無法破壞 MBR 時加密一般檔案,Satana 卻沒有「B 計劃」這回事,兩項加密會先後執行。

Satana 執行後會消失並把自己複製到暫存資料夾,並把檔案名稱換成隨機的名字,之後 Windows 會彈出使用者帳戶控制。如果用戶選擇不執行,該視窗會重復彈出,直到他們選擇執行。

uac

 

研究人員指出,該款勒索軟件會留下動作記錄,加上程式有缺陷,很可能仍在開發階段,預料不會有大規模散播,但開發者已展示向破壞 MBR 的方向發展的興趣,下一個版本的「撇旦」會有所改善。

Source : Malwarebytes

 

Tags :petyaransomware
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。