UDN-企业互联网技术人气社区

板块导航

浏览  : 537
回复  : 0

[干货] PETYA勒索软件:可加密整个硬盘,锁定用户计算机

[复制链接]
钻石女王的头像 楼主
发表于 2016-4-4 14:26:15 | 显示全部楼层 |阅读模式
  近日,安全专家发现了一款新型的勒索恶意软件——Petya,它可造成计算机蓝屏死机(BSoD),并在操作系统加载前,将常规的Windows图标替换成闪烁的、由红色和白色组成的图像,如下图:

52b7221eadeb1187271e710e201ffe01.jpg

  Petya不仅可以覆盖受影响系统的主引导记录(MBR),锁定用户,而且它是通过合法的云存储服务感染用户的(例如,通过Dropbox)。

  研究人员在分析时发现,这虽然不是恶意软件第一次通过滥用合法服务达到它的目的,但却是第一次导致crypto-ransomware感染。这种方法偏离了典型的感染链,它将恶意文件附加到电子邮件或托管在网站中,通过开发工具包传播。

  感染程序

  Petya大多数使用电子邮件进行传播。受害者会受到一封貌似来自外部工作申请人员的业务相关的邮件,其中包含一个Dropbox存储位置的超链接,一旦受害者点击链接,就会开始下载“申请人的简历”。

  通过对众多样本进行分析发现,链接指向的Dropbox文件夹中包含两个文件:一个伪装成简历的自解压的可执行文件,和一张申请人的照片。深度挖掘发现,该照片为未经许可使用的库存图片。

6407c3ed4a0fe5fbbe5f3f23fb1f5954.jpg

图一 Dropbox文件夹中的内容

  当然,下载的文件并不是简历,而是一个自解压的可执行文件,会将木马释放到系统中。该木马会阻止病毒查杀工具对Petya的检测。

  感染“症状”

  Petya一旦感染系统,会覆盖整个硬盘的MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,而是显示一个ASCII骷髅图像和提示:支付一定数量的比特币,否则将失去文件和计算机的访问权限。

  另外,修改的MBR也会禁用Safe Mode模式的重启。

  接下来会显示用户操作的指导说明:一个要求的列表,Tor Project的链接,如何进入支付页面和私有解密密钥。

6f312aa18291b1a71babf62d23f78f1c.jpg
  
图二 PETYA的解密和支付说明

  通过查看其专业设计的Tor网站发现,目前赎金价格为0.99比特币(BTC)或US$431,如果错过了屏幕显示的截止日期,赎金价格将会翻倍。

fdde0a1fd5622aeb696afee4fb2d5831.jpg
 
图三 PETYA网站

  安全建议

  企业组织和个人用户可以通过使用一些终端解决方案(如Smart Protection Suites)检测恶意的文件或邮件消息,阻止所有相关的恶意URL。

  另外,由于PETYA发现时间比较短,很多安全检测软件还没有做出及时的响应,这就需要用户在查看邮件时,仔细查看邮件内容,尤其是匿名邮件,尽量避免点击邮件中的链接等。

  相关文件的SHA1

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

*原文地址:trendmicro,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部