Skip to main content

勒索軟體拿MBR當人質

趨勢科技發現跟之前所看到不同的勒索軟體變種。一個典型的勒索軟體 Ransomware會加密檔案或限制使用者使用受感染系統。但趨勢科技發現這個特殊變種會感染主要開機磁區(MBR),防止作業系統被啟動。根據趨勢科技的分析,這個惡意程式會複製原本的MBR,再用自己的惡意程式碼覆蓋掉。一旦感染完成,它會自動重新啟動系統讓感染生效。當系統重新啟動後,勒索軟體會顯示以下訊息:

 

勒索軟體拿MBR當人質

 

 

這個訊息告訴使用者這台電腦已經被封鎖了,他們需要透過支付系統QIWI交付920烏克蘭幣(UAH)到一個12位的電子錢包號碼 – 380682699268。付錢之後,他們會收到一個代碼來解鎖系統。這個代碼應該會恢復作業系統和移除感染。這特殊變種有「解鎖代碼」存在,一旦使用解鎖代碼,MBR感染就會被回復。

 

趨勢科技將這勒索軟體偵測為TROJ_RANSOM.AQB,而受感染的MBR則偵測為BOOT_RANSOM.AQB。

 

勒索軟體仍然存在

 

不幸的是,可能還不會看到勒索軟體攻擊停止。去年二月,有攻擊者入侵法國糖果店網站Ladurée以散播惡意軟體。當使用者訪問這個被入侵的網站後,系統就會感染TROJ_RANSOM.BOV。這個變種軟體會偽裝成法國國家憲兵,顯示要求中毒使用者付錢的通知。攻擊者同時也會偽造義大利、德國、比利時和西班牙警方的通知。

 

雖然被其他更有新聞價值的威脅所掩蓋了,但勒索軟體 Ransomware攻擊絕對沒有消失。事實上,這種威脅似乎更加蓬勃發展,從勒索軟體感染在歐洲其他地區的成長中可以看出。

 

趨勢科技透過主動式雲端截毒服務  Smart Protection Network來偵測並移除所有相關惡意軟體。使用者還可以利用修復主控台來回復MBR原來的設定。想了解相關資訊,你可以到這參考我們的威脅百科全書。

 

作為預防措施,使用者必須將他們的系統跟軟體都更新到最新的安全修補程式,並且避免點選可疑郵件裡夾帶的連結。

 

@原文出處:Ransomware Takes MBR Hostage 作者:Cris Pantanilla(威脅反應工程師)

@延伸閱讀
《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

假冒執法警察的勒索攻擊持續蔓延在歐洲

社交工程的運作原理~好奇心是最大的安全漏洞

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」

免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載

◎ 歡迎加入趨勢科技社群網站