勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人
打開電腦,骷髏頭畫面現身 ?!
趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊,此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件
,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。
★針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。
當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了
勒索軟體 Ransomware犯罪集團似乎覺得,光是將檔案加密還不足以逼迫使用者,因此,現在他們又開發了一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。
圖 1:感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面
這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。
這並非惡意程式首次利用合法服務來從事不法行為,但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。
感染過程:求職信內含一個指向 下載履歷表的]Dropbox連結,求指者的照片是盜用的
研究人員指出,Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件,信件內含一個指向 Dropbox 雲端空間的連結,可讓收件人用來下載求職者的履歷表。
在我們分析到的一個樣本中,此連結指向一個 Dropbox 資料夾,內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,我們發現該照片應該是從網路上盜來的圖片。
圖 2:Dropbox 資料夾內的假履歷表的照片是網路上偷來的
假冒的履歷表其實是一個自我解壓縮檔案,當使用者下載並開啟時就會在電腦上植入一個木馬程式。此木馬程式會先讓系統上安裝的防毒軟體失效,然後再下載並執行 Petya 勒索軟體。
感染症狀: Windows 出現藍色當機畫面,重新開機出現骷髏頭畫面
Petya 一旦執行,就會修改電腦硬碟的主要開機磁區 (MBR),讓 Windows 當機並出現藍色當機畫面。接著,當使用者重新開機時,電腦就會載入歹徒寫入的主要開機磁區,此時電腦不會進入 Windows 系統,而是在螢幕上顯示一個骷髏頭畫面以及勒索指示,使用者必須透過比特幣(Bitcoin)支付一定的贖金來救回電腦和檔案。
MBR 已遭到修改,受害者無法開機進入安全模式
值得注意的是,由於 MBR 已遭到修改,因此使用者也無法開機進入安全模式。
歹徒提供了詳細的步驟來告訴使用者如何下載 Tor (洋蔥路由器) 瀏覽器以及如何使用該瀏覽器來付款以取得解密金鑰。
圖3.勒索軟體 PETYA 的解密與付款指示
針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
未在指定的期限內付款,金額自動加倍
趨勢科技在該軟體極為專業的 Tor 網站上看到其目前的勒索金額為 0.99 比特幣(Bitcoin,BTC),約等於 431 美元,如果使用者未在螢幕上指定的期限內付款,此金額還會自動加倍。
圖 4:勒索軟體 PETYA 的解密與付款指示架設在深層網路(Deep Web)上的網站。
趨勢科技的各項端點防護產品,包括:趨勢科技PC-cillin雲端版、Smart Protection Suites 以及Worry-Free Pro 都能偵測並攔截這項威脅的惡意檔案、電子郵件以及相關網址,有效防範使用者和企業遭到侵襲。
相關檔案的 SHA1 雜湊碼如下:
- 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
- B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
- 755f2652638f87ab517c608a363c4aefb9dd6a5a
原文出處:PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers
