資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 2896|回復: 5

[威脅] 偽裝 Dropbox 連結,勒索軟體攻擊電腦隨時無法開機

[複製鏈接]
發表於 2016-4-19 13:44:41 | 顯示全部樓層 |閱讀模式


勒索軟體推陳出新,入侵的方式層出不窮之餘,破壞力也愈來愈高。Petya 就是最近發現的勒索軟體,它會扮成求職履歷表引誘受害人下載,執行後便會把電腦的主開機紀錄 (MBR) 覆寫,之後電腦全部檔案就會被加密,連 Windows 安全模式也無法進入。

Petya 假扮履歷表吸引人下載

防毒軟體公司 Trend Micro 指勒索軟體 Petya 是透過所謂的「求職電子郵件」傅播,裡面有一條 Dropbox 的連結,引誘受害人下載「求職者」的「履歷」。

Dropbox 上有兩個檔案,一個是裝作履歷表的惡意檔案,其名稱是德文,翻譯成英文就是 application_portfolio-packed.exe;另一個是「求職者」的照片,但照片其實只是從網上圖片庫中隨便找來。

當受害人把惡意檔案下載並執行後,就會為電腦植入木馬,使防毒軟體被蒙蔽,之後便會下載及執行 Petya。

Petya 竄改電腦 MBR 致無法進入 Windows

Petya 執行後會把硬碟上的主開機記錄 (Master Boot Record,MBR) 覆寫,導致 Windows 故障和出現藍畫面。重新啟動後便會出現一個訊息,指系統正在修復檔案,但這只是 Petya 偽造出來的。



當「修復」完成後,電腦就會顯示 Petya 紅色背景的「歡迎畫面」 (如第一張圖示),按下鍵盤任何一個鍵後便會顯示訊息,告知受害人硬碟裡所有檔案已被加密,並顯示付款和解密檔案的方法; 7 天後勒索金額更會加倍。Trend Micro 亦指由於 MBR 被惡意修改,電腦連 Windows 安全模式也無法進入。



其他勒索軟體只針對特定的檔案,Petya 卻針對全部檔案。即使如此,G Data Software 認為檔案其實仍未被加密,只是檔案存取被限制。

Trend Micro 指利用 Dropbox 等合法的雲端空間來存放和散播惡意檔案的情況值得注意。他們已向 Dropbox 通報,Dropbox 其後已移除有關檔案。

文章來源: TechNews - http://technews.tw/2016/03/30/petya-ransomware-overwrites-mbr/

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?加入會員

x
發表於 2016-7-13 15:54:02 | 顯示全部樓層
本帖最後由 Buatong 於 2016-7-13 15:55 編輯

大多數病毒都來自俄羅斯
Petya 彼佳是俄羅斯名字. 地獄犬地獄犬或者是希臘名字。儘管如此,勒索來自俄羅斯    

發表於 2016-7-13 15:56:04 | 顯示全部樓層
每次的勒索攻擊是伴隨著一些折衷不同的指標,它們對不同品系的文件加密威是獨特的。首先,其中包括加密密钥交换流程,加入到受害者的文件的extension,并且还有指示感染用户数据恢复的勒索赎金笔记。如果是后者IOC包括一组名为文件“解密我的文件”,在TXT,HTML和VBS格式,那么Cerber勒索木马是罪魁祸首。
發表於 2016-7-13 15:57:34 | 顯示全部樓層
發表於 2016-7-13 15:58:56 | 顯示全部樓層
發表於 2016-7-13 16:01:29 | 顯示全部樓層
http://soft2secure.com.tw/knowledgebase/cerber
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-4-19 10:11 , Processed in 30.198852 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表