G DATA BLOG: https://goo.gl/ze447Q
在卡飯看到的。
跟以前一些 WinLocker 不一樣,那些勒索是:開機還是能開機,
但進去 Windows 之後會鎖住你的操作,簡單利用一些工具就能解開,
大不了重灌反正檔案還是能撈得出來。
但是 Petya 更賤,它會寫入 MBR 讓電腦當機之後,
重新啟動不會進去 Windows 而是顯示一個假的磁碟掃描程式,
假裝在掃描其實是在加密,硬碟整顆鎖起來不給你用。
之後會秀一個可怕的紅色骷髏頭閃閃閃,跟你說該付錢囉。
就算拔到其他電腦也看不到檔案。
建議中獎之後(怎麼知道中獎?啊災)不要馬上重新啟動電腦,
因為一重開看到那個假掃描開始加密就麻煩了。
Windows 光碟開機用 bootrec /fixmbr 把 MBR 修復就沒事了。
看討論區有人說對 GPT 分割沒效。
樣本本身 UAC 會擋下,雖然威力很強但這個應該比較不會流行。
作者:
BITMajo (BITMajo)
2016-03-26 14:26:00唉,進入大勒索時代了
作者:
abram (科科)
2016-03-26 14:48:00不知道MBR轉為GPT有沒有副作用
我把Windows自動修復的LOG看成是勒索軟體留下的了 囧
作者:
yehmd (牧葉 德國隊加油)
2016-03-26 17:06:00哇………
作者:
Cubelia (天空の夜明け)
2016-03-27 01:46:00會不會鎖檔案-會 會不要要求贖金-會會不會讓使用者感到恐懼-絕對會
作者:
estupid (For What)
2016-03-27 02:58:00驚嚇指數100
作者:
abram (科科)
2016-03-27 08:50:00跟現在Crypt系列差別? 就是加密整顆硬碟的概念 非檔案而已
作者:
eyeonme (看什麼看)
2016-03-27 12:24:00差別喔 Crypt系最多不要檔案 電腦可以繼續用甚至有機會救回 (如果中的是已經破解的版本Petya中了就付錢or重灌吧 目前無解
作者:
wuliou (wuliou)
2016-03-27 14:42:00越來越機車了
作者:
skychy (就跟你說不要那麼囉嗦..)
2016-03-27 14:52:00不過這種重開機才開始加密的作法,代表加密金鑰應該還在電腦裡吧?反而是相對容易找出對策的樣子
作者:
jackyT (Ubuntu5566)
2016-03-27 17:25:00相對容易找對策+這種漏洞難找=想出來的沒用腦
一般狀態下應該沒辦法動到MBR吧,再笨的防毒應該都會攔
這種單一行為智慧型的主防反而不太會攔的樣子,BD GDSEP AVG 似乎都掛掉
作者:
abram (科科)
2016-03-28 08:31:00瀏覽器用沙盒 應該就不會被動到MBR了吧 是嗎?
作者:
abram (科科)
2016-03-28 08:32:00那就放心了 謝謝啦!
作者:
mathrew (Joey)
2016-04-02 10:25:00整顆加密反而要不到錢 一般user會以為電腦壞掉賺到的會是電腦店老闆而且這種做法 要怎麼付錢? 沒網路啊用別台或ibon 輸入 code 嗎?