Petya和Mischa是一对好朋友。他们几乎做什么事情都在一起…
噢,等等,这可不是什么《傻瓜俄语》书,而是卡巴斯基每日博客。Petya和Mischa都是勒索软件,通常”躲藏”在同一个安装包内向无辜用户传播病毒。
如果你经常关注卡巴斯基每日博客,或常追踪网络安全领域的新闻,你一定知道Petya。我们之所以为它写了两篇专题博文,是因为在Petya出现后的几周内,就有个叫@leo_and_stone的推特用户编写出了针对Petya的解密器。
Petya之所以能从众多勒索软件中”脱颖而出”,是因为它除了加密某些类型的文件外,还会通过加密计算机主文件表让整个硬盘无法读取。因此,一旦不幸遭到Petya加密,要想支付赎金的话还需在另一台PC电脑上操作。即便使用leo_and_stone编写的解密工具,也仍需用到另一台PC电脑,但却无需支付赎金。
当Pety遇到Mischa
当然Petya也有自己的弱点。在开始加密前,Petya首先需要获取根访问权限。除非用户同意授予权限并按下’是’按钮,否则对用户计算机不会造成任何危害。为此,Petya的作者采取了补救措施,为了Petya找了个好伙伴Mischa—另一个起了”俄罗斯名字”的勒索软件。
Petya与Mischa之间的差别主要体现在两方面。Petya会让整个硬盘无法访问,而Mischa只会加密某几种文件,这可能是个好消息。而坏消息是,和Petya不同的是,Mischa并不需要管理员访问权限。似乎黑客作者早已想好了Petya和Mischa能取长补短,成为”无敌组合”。
Mischa看起来与普通勒索软件并无二异,总是时不时会跳出来。采用AES加密方法对你计算机上的数据文件进行加密。正如Bleeping Computer博客提到的,会在被加密文件后增加4位扩展名,例如:test.txt就变成了test.txt.7GP3。
Mischa的”胃口”相当大,可以说囊括了几乎所有文件;甚至还包括.exe后缀的可执行文件,这意味着Mischa能阻止用户运行几乎所有程序。但在Mischa加密过程中,Windows文件夹和安装浏览器的文件夹却总能幸免于难。加密完成后,Mischa还会为受害用户”贴心地”创建两个”支付指南”文件:
Petya和Mischa通过伪装成求职信的钓鱼邮件进行传播。一旦Mischa被发现,它会进入”PDFBewerbungsmappe.exe”文件(德语,意思是”PDF求职文档”)。从其德语文件名及传播方式显然可以看出,它的主要攻击目标是德国企业。
#Petya #勒索软件联手#Mischa实施攻击
Tweet
当用户试图打开含有Mischa和Petya的.exe文件,会立即跳出用户账号控制窗口,询问用户是否愿意授予该程序管理员访问权限。但无论选什么都会感染病毒。如果用户选”是”,则自动安装Petya。如果选”否”,则Mischa进行安装。
Mischa显然比Petya更加”贪心”:索要1.93个比特币赎金,价值约875美元。而Petya却只要0.9个比特币作为赎金。
有趣的事实(勒索软件带给我们的欢乐非常有限):Petya是个俄罗斯名字,但Mischa尽管看上去像,其实并不是。俄罗斯人可能会起名叫”Misha”,中间没有”c” —因为中间加个”c”读起来很奇怪!
可惜,目前互联网上还没有针对Mischa的解密工具。针对Petya倒是有一个,但需要有多余的PC电脑并掌握一些计算机技巧。
因此,为避免成为Petya或Misсha勒索软件的受害人,或免遭Vasya、SuperCrypt和El Rapto等勒索软件攻击,我们建议您按如下方式操作:
1.备份文件。有事没事就备份一次。如果所有被加密文件都有备份的话,你完全可以忽视任何勒索软件的存在。
2.不要信任网上的任何人,同时提高警惕。一份求职信会带有.exe后缀名?嗯,只要看上去可疑,就千万不要打开。安全高于一切!
3.安装一款出色的安全解决方案。卡巴斯基安全软件采用多层保护方式,能有效阻止Mischa或其它勒索软件进入计算机。
卡巴斯基安全软件内置反垃圾邮件组件,能有效防范垃圾邮件和钓鱼邮件。同时还具有反病毒功能,可彻底查杀Mischa(又称Trojan-Ransom.Win32.Mikhai)和Petya(又称Trojan-Ransom.Win32.Petr)。系统监视也是其主要功能之一,能有效检测出系统异常活动(例如,试图加密多个文件)并予以阻止。卡巴斯基全方位安全软件拥有上述所有强大功能,同时附带能自动创建备份的工具。