00_去年三月趨勢科技研究團隊發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware ),透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。
該病毒會讓電腦出現藍色當機畫面,並且在電腦重新開機時,出現不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。
上個月GoldenEye (黃金眼) 勒索病毒 Ransomware (勒索軟體/綁架病毒) (趨勢科技命名為 RANSOM_GOLDENEYE.A)發動了一波波的攻擊,尤其特別針對企業的人事部門。GoldenEye 其實是 Petya (RANSOM_PETYA) 和 Mischa (RANSOM_MISCHA) 兩個勒索病毒的合體。
假冒求職信,偽裝履歷表的PDF 檔案,會覆寫系統硬碟的主要開機磁區 (MBR)
GoldenEye 如同 Petya 和 HDDCryptor 一樣,會覆寫系統硬碟的主要開機磁區 (MBR),此外也會假冒成求職信件,且信件同樣是挾帶了偽裝成履歷表的惡意 PDF 檔案與暗藏惡意巨集的 Excel 試算表 (XLS)。
圖 1:GoldenEye 假冒成履歷表的 PDF 檔案 (左) 與挾帶 XLS 檔案的垃圾郵件 (右)。