從目前的安全形勢(shì)來(lái)看,2016年似乎快成為了’勒索軟件之年’,各種勒索軟件的新家族和新版本層出不窮,如雨后春筍般紛紛涌現(xiàn)。
勒索軟件”進(jìn)化”速度之快幾乎超出了我們的想象。許多新版本的勒索軟件通過(guò)將非對(duì)稱加密法和長(zhǎng)位數(shù)密鑰結(jié)合使用,使得受害人在缺少密鑰的情況下根本無(wú)法解密文件。此外,不法分子也開始使用洋蔥路由和比特幣支付方式,因此隱匿得無(wú)影無(wú)蹤。而最新出現(xiàn)的Petya勒索軟件在某種程度上能快速加密整個(gè)硬盤,而不是像過(guò)去的勒索軟件那樣對(duì)文件逐一加密。
Petya是如何潛入PC電腦的
Petya勒索軟件的主要攻擊目標(biāo)是商業(yè)用戶,通過(guò)偽裝成求職信的垃圾郵件偷偷潛入受害人電腦。其標(biāo)準(zhǔn)的病毒感染場(chǎng)景如下所述:
公司人事的郵箱內(nèi)收到來(lái)自某人的職位申請(qǐng)電郵。該封電郵中含有保存在Dropbox的文件鏈接,表面看似是一份普通的簡(jiǎn)歷,但實(shí)際上卻是一個(gè)EXE格式的可執(zhí)行文件。
受害人在點(diǎn)擊文件后發(fā)現(xiàn)根本不是什么求職者簡(jiǎn)歷,但已為時(shí)已晚。電腦瞬間變成藍(lán)屏死機(jī)。這意味著Petya已成功潛入受害用戶的PC電腦并開始一系列惡意操作。
你的硬盤已成為不法分子的’獵物’
普通勒索軟件通常只會(huì)加密特定類型的文件—圖片和辦公文檔等等—但卻不會(huì)對(duì)操作系統(tǒng)造成任何危害,因此受害人還能使用受感染的PC電腦支付贖金。而Petya似乎做得”更不近人情”,其唯一目的竟然是阻止受害用戶訪問(wèn)整個(gè)硬盤。
簡(jiǎn)而言之,不管你的硬盤如何設(shè)置,也不論你的硬盤分一個(gè)區(qū)還是多個(gè)區(qū),總是有一部分磁盤空間是用于存儲(chǔ)所謂的”主引導(dǎo)記錄”(MBR)。其中不僅包含了所有關(guān)于分區(qū)數(shù)量和設(shè)置情況的數(shù)據(jù),還含有一個(gè)能引導(dǎo)操作系統(tǒng)的代碼—被稱為’引導(dǎo)裝載程序’。
這一引導(dǎo)裝載程序每次總在操作系統(tǒng)正式啟動(dòng)前運(yùn)行。而這正是Petya感染的對(duì)象:它會(huì)通過(guò)修改引導(dǎo)裝載程序,從而載入Petya惡意代碼而不是PC電腦上安裝的任何操作系統(tǒng)。
在用戶看來(lái),這如同在執(zhí)行磁盤檢查,因?yàn)橥ǔ2僮飨到y(tǒng)崩潰后都會(huì)進(jìn)行這樣的磁盤檢查。但事實(shí)上,卻是Petya在對(duì)主文件列表進(jìn)行加密。主文件表同樣是你硬盤上的另一個(gè)隱藏部分。該表內(nèi)含有關(guān)文件和文件夾分配情況的所有信息。
你完全可以將自己的硬盤想象成一個(gè)巨大的圖書館,里面存放了數(shù)百萬(wàn)甚至數(shù)十億本書籍。而主文件表則好比是圖書館索引。這一解釋還是過(guò)于簡(jiǎn)單,讓我們與實(shí)際情況相結(jié)合:你硬盤上的’書籍’很少是以”每本”為單位保存,而是以單頁(yè)甚至殘頁(yè)的形式保存。也就是成堆地存放。且沒(méi)有任何順序可言,幾乎都是隨機(jī)存放的。
通過(guò)這樣的解釋,你應(yīng)該能大概明白一旦圖書館索引被盜的話,幾乎沒(méi)有可能找出任何一本完整的書– 而這正是Petya勒索軟件攻擊的方法。一旦成功得手,Petya勒索軟件即顯現(xiàn)出其本來(lái)面目,用ASCII 符號(hào)繪制成的骷髏頭圖像。接下來(lái)一切都是例行公事:惡意軟件要求用戶必須支付贖金(0.9比特幣,相當(dāng)于380美元)才能解密硬盤并恢復(fù)所有文件。
Petya與其它勒索軟件唯一的區(qū)別在于:能完全脫機(jī)運(yùn)行,考慮到它已將整個(gè)操作系統(tǒng)’徹底消滅’,因此也沒(méi)有什么好奇怪的。因此,用戶必須使用另一臺(tái)電腦來(lái)支付贖金并恢復(fù)被加密的文件。
對(duì)抗Petya勒索軟件
不幸的是,正如其它最新的惡意軟件類型一樣,研究專家們依然無(wú)法找到有效的方法來(lái)解密被Petya加密的信息。但你仍然可以采取一些安全措施來(lái)保護(hù)自己的硬盤和文件,并且我們也帶來(lái)了一些有關(guān)Petya散播的一些好消息。
好消息是,Dropbox已在其云存儲(chǔ)中徹底清除了所有含有Petya勒索軟件的惡意文檔。因此現(xiàn)在不法分子必須另尋他路,找到其他的散播方法。壞消息是,他們應(yīng)該很快就能找到替代品。
好吧,我們還是重新回到安全保護(hù)話題。我們到底該采取哪些安全措施呢?
1、受害用戶在看到藍(lán)屏死機(jī)時(shí),實(shí)際上此時(shí)硬盤數(shù)據(jù)還未受到感染,因?yàn)镻etya并未開始對(duì)主文件表進(jìn)行加密。因此一旦碰到電腦因Petya勒索軟件攻擊而導(dǎo)致藍(lán)屏死機(jī),正確的方法是重新啟動(dòng)并執(zhí)行磁盤檢查—然后立即關(guān)閉電腦。因?yàn)榇藭r(shí)此刻,你依然能移除硬盤,然后接到另一臺(tái)電腦(但千萬(wàn)不要將其用作引導(dǎo)設(shè)備)上并恢復(fù)所有文件。
2、Petya只會(huì)加密MFT而不會(huì)感染文件本身。文件依然可以由安全專家在硬盤中完成恢復(fù)。但這一過(guò)程不僅復(fù)雜也相當(dāng)費(fèi)時(shí),同時(shí)還必須付出一筆不菲的費(fèi)用,但基本來(lái)上說(shuō)卻完全可行。但千萬(wàn)不要在家里使用這一方法恢復(fù)文件—因?yàn)橐粋€(gè)小小的錯(cuò)誤就可能徹底毀掉你的文件。
3、主動(dòng)保護(hù)硬盤安全的最佳方法是使用一款出色的安全解決方案。卡巴斯基安全軟件會(huì)阻止垃圾郵件進(jìn)入,因此你根本不會(huì)看不到含Petya鏈接的電郵。就算Petya能成功潛入,也會(huì)被卡巴斯基安全軟件檢測(cè)為Trojan-Ransom.Win32.Petr病毒,并阻止其所有活動(dòng)。此外,我們的所有其它反病毒解決方案也同樣具有這一功能。
現(xiàn)在購(gòu)卡巴斯基安全軟件2016抽大獎(jiǎng),繽紛好禮等你拿!即日起至5月5日,親購(gòu)買指定卡巴斯基產(chǎn)品,可抽取豐富新春大禮,電腦安全舍我其誰(shuí)!新年伊始,讓我們一起迎春!即刻訪問(wèn)kaba365(http://kaba365.com/)或致電卡巴斯基客服:400-819-1313選購(gòu)屬于您的全新卡巴斯基安全軟件2016。電腦安全,交給卡巴,“猴賽雷”啦!