近日,安全专家发现了一款新型的勒索恶意软件——Petya,它可造成计算机蓝屏死机(BSoD),并在操作系统加载前,将常规的Windows图标替换成闪烁的、由红色和白色组成的图像,如下图:
Petya不仅可以覆盖受影响系统的主引导记录(MBR),锁定用户,而且它是通过合法的云存储服务感染用户的(例如,通过Dropbox)。
研究人员在分析时发现,这虽然不是恶意软件第一次通过滥用合法服务达到它的目的,但却是第一次导致crypto-ransomware感染。这种方法偏离了典型的感染链,它将恶意文件附加到电子邮件或托管在网站中,通过开发工具包传播。
感染程序Petya大多数使用电子邮件进行传播。受害者会受到一封貌似来自外部工作申请人员的业务相关的邮件,其中包含一个Dropbox存储位置的超链接,一旦受害者点击链接,就会开始下载“申请人的简历”。
通过对众多样本进行分析发现,链接指向的Dropbox文件夹中包含两个文件:一个伪装成简历的自解压的可执行文件,和一张申请人的照片。深度挖掘发现,该照片为未经许可使用的库存图片。
图一 Dropbox文件夹中的内容
当然,下载的文件并不是简历,而是一个自解压的可执行文件,会将木马释放到系统中。该木马会阻止病毒查杀工具对Petya的检测。
感染“症状”Petya一旦感染系统,会覆盖整个硬盘的MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,而是显示一个ASCII骷髅图像和提示:支付一定数量的比特币,否则将失去文件和计算机的访问权限。
另外,修改的MBR也会禁用Safe Mode模式的重启。
接下来会显示用户操作的指导说明:一个要求的列表,Tor Project的链接,如何进入支付页面和私有解密密钥。
图二 PETYA的解密和支付说明
通过查看其专业设计的Tor网站发现,目前赎金价格为0.99比特币(BTC)或US$431,如果错过了屏幕显示的截止日期,赎金价格将会翻倍。
图三 PETYA网站
安全建议企业组织和个人用户可以通过使用一些终端解决方案(如Smart Protection Suites)检测恶意的文件或邮件消息,阻止所有相关的恶意URL。
另外,由于PETYA发现时间比较短,很多安全检测软件还没有做出及时的响应,这就需要用户在查看邮件时,仔细查看邮件内容,尤其是匿名邮件,尽量避免点击邮件中的链接等。
相关文件的SHA139B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
755f2652638f87ab517c608a363c4aefb9dd6a5a