趨勢科技發現跟之前所看到不同的勒索軟體變種。一個典型的勒索軟體 Ransomware會加密檔案或限制使用者使用受感染系統。但趨勢科技發現這個特殊變種會感染主要開機磁區(MBR),防止作業系統被啟動。根據趨勢科技的分析,這個惡意程式會複製原本的MBR,再用自己的惡意程式碼覆蓋掉。一旦感染完成,它會自動重新啟動系統讓感染生效。當系統重新啟動後,勒索軟體會顯示以下訊息:
這個訊息告訴使用者這台電腦已經被封鎖了,他們需要透過支付系統QIWI交付920烏克蘭幣(UAH)到一個12位的電子錢包號碼 – 380682699268。付錢之後,他們會收到一個代碼來解鎖系統。這個代碼應該會恢復作業系統和移除感染。這特殊變種有「解鎖代碼」存在,一旦使用解鎖代碼,MBR感染就會被回復。
趨勢科技將這勒索軟體偵測為TROJ_RANSOM.AQB,而受感染的MBR則偵測為BOOT_RANSOM.AQB。
勒索軟體仍然存在
不幸的是,可能還不會看到勒索軟體攻擊停止。去年二月,有攻擊者入侵法國糖果店網站Ladurée以散播惡意軟體。當使用者訪問這個被入侵的網站後,系統就會感染TROJ_RANSOM.BOV。這個變種軟體會偽裝成法國國家憲兵,顯示要求中毒使用者付錢的通知。攻擊者同時也會偽造義大利、德國、比利時和西班牙警方的通知。
雖然被其他更有新聞價值的威脅所掩蓋了,但勒索軟體 Ransomware攻擊絕對沒有消失。事實上,這種威脅似乎更加蓬勃發展,從勒索軟體感染在歐洲其他地區的成長中可以看出。
趨勢科技透過主動式雲端截毒服務 Smart Protection Network來偵測並移除所有相關惡意軟體。使用者還可以利用修復主控台來回復MBR原來的設定。想了解相關資訊,你可以到這參考我們的威脅百科全書。
作為預防措施,使用者必須將他們的系統跟軟體都更新到最新的安全修補程式,並且避免點選可疑郵件裡夾帶的連結。
@原文出處:Ransomware Takes MBR Hostage 作者:Cris Pantanilla(威脅反應工程師)
@延伸閱讀
《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭
《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕
專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」
◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載
◎ 歡迎加入趨勢科技社群網站
