Petya Ransomware覆盖了MBR,将用户从计算机中锁定
这足以让非技术用户处理赎金软件感染:了解公钥加密,连接到TOR匿名网络并用比特币加密货币支付。一个新的恶意计划现在通过将受害者从计算机中完全锁定而言,更加困难。
新的Petya ransomware覆盖了受影响的PC的主引导记录(MBR),以无法轻易的状态,防病毒公司趋势科技的研究人员在博客文章中表示。
MBR是存储在硬盘驱动器的第一扇区中的代码。它包含有关磁盘分区的信息,并启动操作系统的引导加载程序。如果没有适当的MBR,那么计算机就不会知道哪些分区包含操作系统以及如何启动它。
趋势科学研究人员表示,Petya通过垃圾邮件发布,以伪装成工作申请。这表明其创造者特别针对企业,并在人力资源部门定向消息。
电子邮件有一个链接到共享Dropbox文件夹,该文件夹包含一个自提取存档作为申请人的CV和假照片。如果下载并执行存档,则安装了ransomware。
恶意程序将重写计算机的MBR,并触发将导致计算机重新启动的关键Windows错误 - 称为死亡蓝屏(BSOD)的条件。
根据PCEPATE TECH支持论坛BLEEPINGCOMPUTEPCOMPUTER.com的计算机专家表示,在这个初始重启之后,ROGUE MBR码将显示一个正常发生在硬盘错误之后的假窗口检查磁盘操作。
在此操作期间,Ransomware实际上加密主文件表(MFT)。这是NTFS分区上的特殊文件,其中包含有关其他每个文件的信息:它们的名称,大小和映射到硬盘扇区。
Petya不会加密文件数据本身,这需要一个整个硬盘驱动器需要很长时间,但通过加密MFT,操作系统将不再知道文件位于磁盘上的位置。仍然可以使用数据恢复应用程序读取文件数据,但重建实际文件可能是冗长和不精确的过程,尤其是在磁盘的不同区域中的不同存储块的分段文件的碎片文件的情况下。
在完成MFT加密之后,Rogue Petya MBR代码将显示乘坐以ASCII字符绘制的骷髅队的赎金消息。该消息指示用户访问TAT匿名网络上的攻击者“解密站点,并为它们提供识别其计算机的唯一代码。
解密MFT所需的关键的价格是0.99比特币(BTC),或约为430美元。
目前,Petya垃圾邮件广告系列被视为针对德国的公司,但没有保证它将仍将本地化。事实上,大多数赎金软件攻击都在一个国家或地区开始,然后随着攻击者获得更多资源,随后向全球范围增长。
