【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人
勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦,骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊,此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件PCC2016_1Y3U_TW box,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

 

 

 

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得,光是將檔案加密還不足以逼迫使用者,因此,現在他們又開發了一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面
圖 1:感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

 

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為,但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向 下載履歷表的]Dropbox連結,求指者的照片是盜用的

研究人員指出,Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件,信件內含一個指向 Dropbox 雲端空間的連結,可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中,此連結指向一個 Dropbox 資料夾,內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,我們發現該照片應該是從網路上盜來的圖片。

Dropbox 資料夾內的假履歷表的照片是網路上偷來的
圖 2:Dropbox 資料夾內的假履歷表的照片是網路上偷來的

假冒的履歷表其實是一個自我解壓縮檔案,當使用者下載並開啟時就會在電腦上植入一個木馬程式。此木馬程式會先讓系統上安裝的防毒軟體失效,然後再下載並執行 Petya 勒索軟體。

感染症狀: Windows 出現藍色當機畫面,重新開機出現骷髏頭畫面

Petya 一旦執行,就會修改電腦硬碟的主要開機磁區 (MBR),讓 Windows 當機並出現藍色當機畫面。接著,當使用者重新開機時,電腦就會載入歹徒寫入的主要開機磁區,此時電腦不會進入 Windows 系統,而是在螢幕上顯示一個骷髏頭畫面以及勒索指示,使用者必須透過比特幣(Bitcoin)支付一定的贖金來救回電腦和檔案。

MBR 已遭到修改,受害者無法開機進入安全模式

值得注意的是,由於 MBR 已遭到修改,因此使用者也無法開機進入安全模式。

歹徒提供了詳細的步驟來告訴使用者如何下載 Tor (洋蔥路由器) 瀏覽器以及如何使用該瀏覽器來付款以取得解密金鑰。

加密勒索軟體 PETYA 的解密與付款指示。
圖3.勒索軟體 PETYA 的解密與付款指示

針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。 

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

 


 

未在指定的期限內付款,金額自動加倍

趨勢科技在該軟體極為專業的 Tor 網站上看到其目前的勒索金額為 0.99 比特幣(Bitcoin,BTC,約等於 431 美元,如果使用者未在螢幕上指定的期限內付款,此金額還會自動加倍。

加密勒索軟體 PETYA 的解密與付款指示架設在深層網路上的網站。
圖 4:勒索軟體 PETYA 的解密與付款指示架設在深層網路(Deep Web)上的網站。

 

趨勢科技的各項端點防護產品,包括:趨勢科技PC-cillin雲端版Smart Protection Suites 以及Worry-Free Pro  都能偵測並攔截這項威脅的惡意檔案、電子郵件以及相關網址,有效防範使用者和企業遭到侵襲。

相關檔案的 SHA1 雜湊碼如下:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

更新:

 

在這篇文章發布之後,我們便立即通知 Dropbox 有關此威脅的相關惡意檔案。而他們也迅速移除這些檔案,並且移除了一些指向相同檔案的其他連結,同時發出以下聲明:

We take any indication of abuse of the Dropbox platform very seriously and have a dedicated team that works around the clock to monitor and prevent misuse of Dropbox. Although this attack didn’t involve any compromise of Dropbox security, we have investigated and have put procedures in place to proactively shut down rogue activity like this as soon as it happens.

我們非常嚴肅看待任何可能濫用 Dropbox 平台的行為,我們有專責的團隊全天候隨時監控及防範 Dropbox 遭到濫用。儘管這次的攻擊並非 Dropbox 的安全漏洞所引起,但我們仍做了一番調查,並且制定了一套程序以便在第一時間內主動遏止這類活動再度發生。

感謝 Dropbox 對此事件的迅速回應。

 

原文出處:PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers
作者:Jasen Sumalapao

延伸閱讀:

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集


如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數