勒索軟件(Ransomware)近年四出肆虐,單就美國聯邦調查局互聯網罪案投訴中心的報告顯示,2015年便有多達2,453宗涉及勒索軟件的個案。正當大眾以為勒索軟件只會將檔案加密時,網絡罪犯卻決定更激進地威迫用戶繳款。
近期趨勢科技便發現網絡上出現一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體。用戶中招後會無法進入作業系統,當用戶啟動電腦電源之後,電腦上出現的將不是熟悉的Windows開機畫面,取而代之是一個由「$」符號組成的骷髏頭及閃爍的紅色畫面。
趨勢科技指出這個畫面的元兇是俗稱「Petya」的加密勒索軟體,而趨勢科技將其命名為「RANSOM_PETYA.A」。該程式不僅會修改被感染電腦的主要開機磁區(MBR),讓使用者無法開機,更重要的是它會經由雲端儲存服務Dropbox來進入受害者電腦。
循電郵散布雲端連結
趨勢科技研究人員指出,Petya仍是經由電子郵件來散布。受害者會收到一封類似應徵工作的電子郵件,信件內含一個指向Dropbox雲端空間的連結,可讓收件人下載求職者的履歷表。
在趨勢科技研究的其中一個分析個樣本中,連結便是指向一個Dropbox資料夾,內附兩個檔案:一個是偽裝成履歷表的解壓縮檔案,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,研究人員發現該照片應該是從網路上盜來的圖片。假冒的履歷表其實是一個自我解壓縮檔案,當用戶下載並開啟時就會在電腦上植入一個木馬程式。這個木馬程式會先讓用戶系統上安裝的防毒軟體失效,然後再下載並執行Petya勒索軟體。
比特幣支付贖金
Petya一旦執行,就會修改電腦硬碟的MBR,讓Windows當機並出現藍色當機畫面。接著,當用戶重新開機時,電腦就會載入網絡罪犯寫入的主要開機磁區,此時電腦將不會進入Windows系統,而是在螢幕上顯示一個骷髏頭畫面以及勒索指示,用戶必須透過比特幣(Bitcoin)支付一定的贖金來救回電腦和檔案。
當用戶企圖修正問題時,卻會發現由於MBR已遭到修改,因此也無法開機進入安全模式。最後,網絡罪犯會提供詳細的步驟來指引用戶下載Tor(洋蔥路由器)瀏覽器以及如何使用該瀏覽器來付款以取得解密金鑰。
針對此新型勒索軟體企圖修改MBR的惡意行為,趨勢科技PC-cillin雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。
沒有留言:
發佈留言