[閒聊] 勒索軟體新成員 Petya 登場

作者: brianuser (產業廢棄物)   2016-03-26 14:17:49
G DATA BLOG: https://goo.gl/ze447Q
在卡飯看到的。
跟以前一些 WinLocker 不一樣,那些勒索是:開機還是能開機,
但進去 Windows 之後會鎖住你的操作,簡單利用一些工具就能解開,
大不了重灌反正檔案還是能撈得出來。
但是 Petya 更賤,它會寫入 MBR 讓電腦當機之後,
重新啟動不會進去 Windows 而是顯示一個假的磁碟掃描程式,
假裝在掃描其實是在加密,硬碟整顆鎖起來不給你用。
之後會秀一個可怕的紅色骷髏頭閃閃閃,跟你說該付錢囉。
就算拔到其他電腦也看不到檔案。
建議中獎之後(怎麼知道中獎?啊災)不要馬上重新啟動電腦,
因為一重開看到那個假掃描開始加密就麻煩了。
Windows 光碟開機用 bootrec /fixmbr 把 MBR 修復就沒事了。
看討論區有人說對 GPT 分割沒效。
樣本本身 UAC 會擋下,雖然威力很強但這個應該比較不會流行。
作者: BITMajo (BITMajo)   2016-03-26 14:26:00
唉,進入大勒索時代了
作者: abram (科科)   2016-03-26 14:48:00
不知道MBR轉為GPT有沒有副作用
作者: brianuser (產業廢棄物)   2016-03-26 16:15:00
我把Windows自動修復的LOG看成是勒索軟體留下的了 囧
作者: yehmd (牧葉 德國隊加油)   2016-03-26 17:06:00
哇………
作者: Angrierb (小鳥)   2016-03-27 00:44:00
這跟現在的Crypt系列有什麼差別嗎?
作者: Cubelia (天空の夜明け)   2016-03-27 01:46:00
會不會鎖檔案-會 會不要要求贖金-會會不會讓使用者感到恐懼-絕對會
作者: estupid (For What)   2016-03-27 02:58:00
驚嚇指數100
作者: abram (科科)   2016-03-27 08:50:00
跟現在Crypt系列差別? 就是加密整顆硬碟的概念 非檔案而已
作者: eyeonme (看什麼看)   2016-03-27 12:24:00
差別喔 Crypt系最多不要檔案 電腦可以繼續用甚至有機會救回 (如果中的是已經破解的版本Petya中了就付錢or重灌吧 目前無解
作者: wuliou (wuliou)   2016-03-27 14:42:00
越來越機車了
作者: skychy (就跟你說不要那麼囉嗦..)   2016-03-27 14:52:00
不過這種重開機才開始加密的作法,代表加密金鑰應該還在電腦裡吧?反而是相對容易找出對策的樣子
作者: jackyT (Ubuntu5566)   2016-03-27 17:25:00
相對容易找對策+這種漏洞難找=想出來的沒用腦
作者: hirokofan (笠原弘子 命!)   2016-03-28 08:19:00
一般狀態下應該沒辦法動到MBR吧,再笨的防毒應該都會攔
作者: brianuser (產業廢棄物)   2016-03-28 08:28:00
這種單一行為智慧型的主防反而不太會攔的樣子,BD GDSEP AVG 似乎都掛掉
作者: abram (科科)   2016-03-28 08:31:00
瀏覽器用沙盒 應該就不會被動到MBR了吧 是嗎?
作者: brianuser (產業廢棄物)   2016-03-28 08:31:00
沙盒裡面跑沒事,除非你的沙盒有問題
作者: abram (科科)   2016-03-28 08:32:00
那就放心了 謝謝啦!
作者: mathrew (Joey)   2016-04-02 10:25:00
整顆加密反而要不到錢 一般user會以為電腦壞掉賺到的會是電腦店老闆而且這種做法 要怎麼付錢? 沒網路啊用別台或ibon 輸入 code 嗎?

Links booklink

Contact Us: admin [ a t ] ucptt.com