Petya Ransomware现在是麻烦的两倍
Petya Ransomware现在捆绑了第二个文件加密程序,以便在无法替换计算机的主引导记录以加密其文件表的情况下捆绑。
Petya是一个不寻常的赎金软件威胁,首次在安全研究人员中出现“3月雷达。它不是直接加密用户的文件,而是加密NTFS磁盘分区使用的主文件表(MFT),以保存有关物理磁盘上的文件名,大小和位置的信息。
在加密MFT之前,Petya取代了计算机的主引导记录(MBR),其中包含启动操作系统的Bootloader的代码。Petya用自己的恶意代码替换它,这些代码显示了赎金笔记,并留下无法启动的计算机。
但是,为了在感染计算机后覆盖MBR,恶意软件需要获取管理员权限。它通过要求用户通过Windows中的用户帐户控制(UAC)机制来访问用户来实现。
在以前的版本中,如果Petya无法获取管理员权限,则它停止了感染例程。但是,在这种情况下,最新的变体安装另一个RansomWare程序,被称为MISCHA,该程序开始直接加密用户“文件,这是一个不需要特殊权限的操作。
“没有任何赎金软件开发人员讨厌留在桌面上的钱,这正是佩戴的是彼得亚的事情,”技术支持论坛BleepingComputer.com的创始人,在一个博客文章中。“与Petya不同,Mischa Ransomware是您的标准花园品种赎金软件,可以加密您的文件,然后要求赎金支付以获得解密密钥。”
Mischa目前要求的赎金是1.93比特币,或约875美元 - 高于一些类似的赎金软件程序。
将错误分开的另一件事是,除了文档,图片,视频和其他用户生成的文件之外,它还会加密可执行的(.exe)文件。这有可能以非功能状态将已安装的程序和操作系统留出,使得从受影响的系统中支付赎金更难。
Petya-Mischa Combo的安装程序通过垃圾邮件发送,该电子邮件呈现为作业应用程序。这些电子邮件包含指向在线文件存储服务的链接,该服务托管所谓的申请人和伪装为PDF文档的恶意可执行文件的图片。
如果它是下载和执行的,假的PDF文件首先尝试安装Petya,如果发生故障,它会安装Mischa。与Petya不同,可提供解密工具,目前没有已知的方法可以在不支付赎金的情况下恢复Mischa加密的文件。
