偽裝 Dropbox 連結,勒索軟體攻擊電腦隨時無法開機

作者 | 發布日期 2016 年 03 月 30 日 13:24 | 分類 資訊安全 , 軟體、系統 , 電腦 line share follow us in feedly line share
偽裝 Dropbox 連結,勒索軟體攻擊電腦隨時無法開機


勒索軟體推陳出新,入侵的方式層出不窮之餘,破壞力也愈來愈高。Petya 就是最近發現的勒索軟體,它會扮成求職履歷表引誘受害人下載,執行後便會把電腦的主開機紀錄(MBR)覆寫,之後電腦全部檔案就會被加密,連 Windows 安全模式也無法進入。

Petya 假扮履歷表吸引人下載

防毒軟體公司 Trend Micro 指勒索軟體 Petya 是透過所謂的「求職電子郵件」傅播,裡面有一條 Dropbox 的連結,引誘受害人下載「求職者」的「履歷」。

Dropbox 上有兩個檔案,一個是裝作履歷表的惡意檔案,其名稱是德文,翻譯成英文就是 application_portfolio-packed.exe;另一個是「求職者」的照片,但照片其實只是從網上圖片庫中隨便找來。

當受害人把惡意檔案下載並執行後,就會為電腦植入木馬,使防毒軟體被蒙蔽,之後便會下載及執行 Petya。

 

Petya 竄改電腦 MBR 致無法進入 Windows

Petya 執行後會把硬碟上的主開機記錄(Master Boot Record,MBR)覆寫,導致 Windows 故障和出現藍畫面。重新啟動後便會出現一個訊息,指系統正在修復檔案,但這只是 Petya 偽造出來的。

blog.gdatasoftware.com

當「修復」完成後,電腦就會顯示 Petya 紅色背景的「歡迎畫面」(如第一張圖示),按下鍵盤任何一個鍵後便會顯示訊息,告知受害人硬碟裡所有檔案已被加密,並顯示付款和解密檔案的方法; 7 天後勒索金額更會加倍。Trend Micro 亦指由於 MBR 被惡意修改,電腦連 Windows 安全模式也無法進入。

blog.gdatasoftware.com

其他勒索軟體只針對特定的檔案,Petya 卻針對全部檔案。即使如此,G Data Software 認為檔案其實仍未被加密,只是檔案存取被限制。

Trend Micro 指利用 Dropbox 等合法的雲端空間來存放和散播惡意檔案的情況值得注意。他們已向 Dropbox 通報,Dropbox 其後已移除有關檔案。

(本文由 Unwire Pro 授權轉載;首圖來源:G DATA