PETYA勒索软件：可加密整个硬盘并锁定用户计算机

近日，安全专家发现了一款新型的勒索恶意软件——Petya，它可造成计算机蓝屏死机（BSoD），并在操作系统加载前，将常规的Windows图标替换成闪烁的、由红色和白色组成的图像，如下图：

Petya不仅可以覆盖受影响系统的主引导记录（MBR），锁定用户，而且它是通过合法的云存储服务感染用户的（例如，通过Dropbox）。

研究人员在分析时发现，这虽然不是恶意软件第一次通过滥用合法服务达到它的目的，但却是第一次导致crypto-ransomware感染。这种方法偏离了典型的感染链，它将恶意文件附加到电子邮件或托管在网站中，通过开发工具包传播。

Petya大多数使用电子邮件进行传播。受害者会受到一封貌似来自外部工作申请人员的业务相关的邮件，其中包含一个Dropbox存储位置的超链接，一旦受害者点击链接，就会开始下载“申请人的简历”。

通过对众多样本进行分析发现，链接指向的Dropbox文件夹中包含两个文件：一个伪装成简历的自解压的可执行文件，和一张申请人的照片。深度挖掘发现，该照片为未经许可使用的库存图片。

图一 Dropbox文件夹中的内容

当然，下载的文件并不是简历，而是一个自解压的可执行文件，会将木马释放到系统中。该木马会阻止病毒查杀工具对Petya的检测。

Petya一旦感染系统，会覆盖整个硬盘的MBR，使Windows崩溃并显示蓝屏，而当用户重启计算机时，已修改的MBR会阻止Windows的正常加载，而是显示一个ASCII骷髅图像和提示：支付一定数量的比特币，否则将失去文件和计算机的访问权限。

另外，修改的MBR也会禁用Safe Mode模式的重启。

接下来会显示用户操作的指导说明：一个要求的列表，Tor Project的链接，如何进入支付页面和私有解密密钥。

图二 PETYA的解密和支付说明

通过查看其专业设计的Tor网站发现，目前赎金价格为0.99比特币（BTC）或US$431，如果错过了屏幕显示的截止日期，赎金价格将会翻倍。

图三 PETYA网站

企业组织和个人用户可以通过使用一些终端解决方案（如Smart Protection Suites）检测恶意的文件或邮件消息，阻止所有相关的恶意URL。

另外，由于PETYA发现时间比较短，很多安全检测软件还没有做出及时的响应，这就需要用户在查看邮件时，仔细查看邮件内容，尤其是匿名邮件，尽量避免点击邮件中的链接等。

39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA

B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2

755f2652638f87ab517c608a363c4aefb9dd6a5a