Top
首页 > 文章 > 正文

卡巴斯基:Petya勒索软件竟可加密整个硬盘

发布时间:2016-04-08 16:53        来源:中国网        作者:

从目前的安全形势来看,2016年似乎快成为了’勒索软件之年’,各种勒索软件的新家族和新版本层出不穷,如雨后春笋般纷纷涌现。

勒索软件”进化”速度之快几乎超出了我们的想象。许多新版本的勒索软件通过将非对称加密法和长位数密钥结合使用,使得受害人在缺少密钥的情况下根本无法解密文件。此外,不法分子也开始使用洋葱路由和比特币支付方式,因此隐匿得无影无踪。而最新出现的Petya勒索软件在某种程度上能快速加密整个硬盘,而不是像过去的勒索软件那样对文件逐一加密。

  Petya是如何潜入PC电脑的

Petya勒索软件的主要攻击目标是商业用户,通过伪装成求职信的垃圾邮件偷偷潜入受害人电脑。其标准的病毒感染场景如下所述:

公司人事的邮箱内收到来自某人的职位申请电邮。该封电邮中含有保存在Dropbox的文件链接,表面看似是一份普通的简历,但实际上却是一个EXE格式的可执行文件。

受害人在点击文件后发现根本不是什么求职者简历,但已为时已晚。电脑瞬间变成蓝屏死机。这意味着Petya已成功潜入受害用户的PC电脑并开始一系列恶意操作。

 你的硬盘已成为不法分子的’猎物’

普通勒索软件通常只会加密特定类型的文件—图片和办公文档等等—但却不会对操作系统造成任何危害,因此受害人还能使用受感染的PC电脑支付赎金。而Petya似乎做得”更不近人情”,其唯一目的竟然是阻止受害用户访问整个硬盘。

简而言之,不管你的硬盘如何设置,也不论你的硬盘分一个区还是多个区,总是有一部分磁盘空间是用于存储所谓的”主引导记录”(MBR)。其中不仅包含了所有关于分区数量和设置情况的数据,还含有一个能引导操作系统的代码—被称为’引导装载程序’。

这一引导装载程序每次总在操作系统正式启动前运行。而这正是Petya感染的对象:它会通过修改引导装载程序,从而载入Petya恶意代码而不是PC电脑上安装的任何操作系统。

在用户看来,这如同在执行磁盘检查,因为通常操作系统崩溃后都会进行这样的磁盘检查。但事实上,却是Petya在对主文件列表进行加密。主文件表同样是你硬盘上的另一个隐藏部分。该表内含有关文件和文件夹分配情况的所有信息。

你完全可以将自己的硬盘想象成一个巨大的图书馆,里面存放了数百万甚至数十亿本书籍。而主文件表则好比是图书馆索引。这一解释还是过于简单,让我们与实际情况相结合:你硬盘上的’书籍’很少是以”每本”为单位保存,而是以单页甚至残页的形式保存。也就是成堆地存放。且没有任何顺序可言,几乎都是随机存放的。

通过这样的解释,你应该能大概明白一旦图书馆索引被盗的话,几乎没有可能找出任何一本完整的书– 而这正是Petya勒索软件攻击的方法。一旦成功得手,Petya勒索软件即显现出其本来面目,用ASCII 符号绘制成的骷髅头图像。接下来一切都是例行公事:恶意软件要求用户必须支付赎金(0.9比特币,相当于380美元)才能解密硬盘并恢复所有文件。

Petya与其它勒索软件唯一的区别在于:能完全脱机运行,考虑到它已将整个操作系统’彻底消灭’,因此也没有什么好奇怪的。因此,用户必须使用另一台电脑来支付赎金并恢复被加密的文件。

  对抗Petya勒索软件

不幸的是,正如其它最新的恶意软件类型一样,研究专家们依然无法找到有效的方法来解密被Petya加密的信息。但你仍然可以采取一些安全措施来保护自己的硬盘和文件,并且我们也带来了一些有关Petya散播的一些好消息。

好消息是,Dropbox已在其云存储中彻底清除了所有含有Petya勒索软件的恶意文档。因此现在不法分子必须另寻他路,找到其他的散播方法。坏消息是,他们应该很快就能找到替代品。

好吧,我们还是重新回到安全保护话题。我们到底该采取哪些安全措施呢?

1、受害用户在看到蓝屏死机时,实际上此时硬盘数据还未受到感染,因为Petya并未开始对主文件表进行加密。因此一旦碰到电脑因Petya勒索软件攻击而导致蓝屏死机,正确的方法是重新启动并执行磁盘检查—然后立即关闭电脑。因为此时此刻,你依然能移除硬盘,然后接到另一台电脑(但千万不要将其用作引导设备)上并恢复所有文件。

2、Petya只会加密MFT而不会感染文件本身。文件依然可以由安全专家在硬盘中完成恢复。但这一过程不仅复杂也相当费时,同时还必须付出一笔不菲的费用,但基本来上说却完全可行。但千万不要在家里使用这一方法恢复文件—因为一个小小的错误就可能彻底毁掉你的文件。

3、主动保护硬盘安全的最佳方法是使用一款出色的安全解决方案。卡巴斯基安全软件会阻止垃圾邮件进入,因此你根本不会看不到含Petya链接的电邮。就算Petya能成功潜入,也会被卡巴斯基安全软件检测为trojan-Ransom.Win32.Petr病毒,并阻止其所有活动。此外,我们的所有其它反病毒解决方案也同样具有这一功能。

现在购卡巴斯基安全软件2016抽大奖,缤纷好礼等你拿!即日起至5月5日,亲购买指定卡巴斯基产品,可抽取丰富新春大礼,电脑安全舍我其谁!新年伊始,让我们一起迎春!即刻访问kaba365(http://kaba365.com/)或致电卡巴斯基客服:400-819-1313选购属于您的全新卡巴斯基安全软件2016。电脑安全,交给卡巴,“猴赛雷”啦!

责任编辑:梁燕(EN003)

合作站点
stat