Petya勒索软件危害巨大:竟能加密整个硬盘

勒索软件”进化”速度之快几乎超出了我们的想象。许多新版本的勒索软件通过将非对称加密法和长位数密钥结合使用,使得受害人在缺少密钥的情况下根本无法解密文件。此外,不法分子也开始使用洋葱路由和比特币支付方式,因此隐匿得无影无踪。而最新出现的Petya勒索软件在某种程度上能快速加密整个硬盘,而不是像过去的勒索软件那样对文件逐一加密。

从目前的安全形势来看,2016年似乎快成为了’勒索软件之年’,各种勒索软件的新家族和新版本层出不穷,如雨后春笋般纷纷涌现。

勒索软件”进化”速度之快几乎超出了我们的想象。许多新版本的勒索软件通过将非对称加密法和长位数密钥结合使用,使得受害人在缺少密钥的情况下根本无法解密文件。此外,不法分子也开始使用洋葱路由和比特币支付方式,因此隐匿得无影无踪。而最新出现的Petya勒索软件在某种程度上能快速加密整个硬盘,而不是像过去的勒索软件那样对文件逐一加密。

Petya是如何潜入PC电脑的

Petya勒索软件的主要攻击目标是商业用户,通过伪装成求职信的垃圾邮件偷偷潜入受害人电脑。其标准的病毒感染场景如下所述:

公司人事的邮箱内收到来自某人的职位申请电邮。该封电邮中含有保存在Dropbox的文件链接,表面看似是一份普通的简历,但实际上却是一个EXE格式的可执行文件。

受害人在点击文件后发现根本不是什么求职者简历,但已为时已晚。电脑瞬间变成蓝屏死机。这意味着Petya已成功潜入受害用户的PC电脑并开始一系列恶意操作。

你的硬盘已成为不法分子的’猎物’

普通勒索软件通常只会加密特定类型的文件—图片和办公文档等等—但却不会对操作系统造成任何危害,因此受害人还能使用受感染的PC电脑支付赎金。而Petya似乎做得”更不近人情”,其唯一目的竟然是阻止受害用户访问整个硬盘。

简而言之,不管你的硬盘如何设置,也不论你的硬盘分一个区还是多个区,总是有一部分磁盘空间是用于存储所谓的”主引导记录”(MBR)。其中不仅包含了所有关于分区数量和设置情况的数据,还含有一个能引导操作系统的代码— 被称为’引导装载程序’。

这一引导装载程序每次总在操作系统正式启动前运行。而这正是Petya感染的对象:它会通过修改引导装载程序,从而载入Petya恶意代码而不是PC电脑上安装的任何操作系统。

在用户看来,这如同在执行磁盘检查,因为通常操作系统崩溃后都会进行这样的磁盘检查。但事实上,却是Petya在对主文件列表进行加密。主文件表同样是你硬盘上的另一个隐藏部分。该表内含有关文件和文件夹分配情况的所有信息。

你完全可以将自己的硬盘想象成一个巨大的图书馆,里面存放了数百万甚至数十亿本书籍。而主文件表则好比是图书馆索引。这一解释还是过于简单,让我们与实际情况相结合:你硬盘上的’书籍’很少是以”每本”为单位保存,而是以单页甚至残页的形式保存。也就是成堆地存放。且没有任何顺序可言,几乎都是随机存放的。

通过这样的解释,你应该能大概明白一旦图书馆索引被盗的话,几乎没有可能找出任何一本完整的书– 而这正是Petya勒索软件攻击的方法。

一旦成功得手,Petya勒索软件即显现出其本来面目,用ASCII 符号绘制成的骷髅头图像。接下来一切都是例行公事:恶意软件要求用户必须支付赎金(0.9比特币,相当于380美元)才能解密硬盘并恢复所有文件。

Petya与其它勒索软件唯一的区别在于:能完全脱机运行,考虑到它已将整个操作系统’彻底消灭’,因此也没有什么好奇怪的。因此,用户必须使用另一台电脑来支付赎金并恢复被加密的文件。

对抗Petya勒索软件

不幸的是,正如其它最新的恶意软件类型一样,研究专家们依然无法找到有效的方法来解密被Petya加密的信息。但你仍然可以采取一些安全措施来保护自己的硬盘和文件,并且我们也带来了一些有关Petya散播的一些好消息。

好消息是,Dropbox已在其云存储中彻底清除了所有含有Petya勒索软件的恶意文档。因此现在不法分子必须另寻他路,找到其他的散播方法。坏消息是,他们应该很快就能找到替代品。

好吧,我们还是重新回到安全保护话题。我们到底该采取哪些安全措施呢?

1.受害用户在看到蓝屏死机时,实际上此时硬盘数据还未受到感染,因为Petya并未开始对主文件表进行加密。因此一旦碰到电脑因Petya勒索软件攻击而导致蓝屏死机,正确的方法是重新启动并执行磁盘检查—然后立即关闭电脑。因为此时此刻,你依然能移除硬盘,然后接到另一台电脑(但千万不要将其用作引导设备)上并恢复所有文件。

2.Petya只会加密MFT而不会感染文件本身。文件依然可以由安全专家在硬盘中完成恢复。但这一过程不仅复杂也相当费时,同时还必须付出一笔不菲的费用,但基本来上说却完全可行。但千万不要在家里使用这一方法恢复文件—因为一个小小的错误就可能彻底毁掉你的文件。

3.主动保护硬盘安全的最佳方法是使用一款出色的安全解决方案。卡巴斯基安全软件会阻止垃圾邮件进入,因此你根本不会看不到含Petya链接的电邮。就算Petya能成功潜入,也会被卡巴斯基安全软件检测为Trojan-Ransom.Win32.Petr病毒,并阻止其所有活动。此外,我们的所有其它反病毒解决方案也同样具有这一功能。

卡巴斯基AdCleaner可清除iPhone手机浏览器的广告

更新:本文中提及的应用已停止使用。 正如现代人无法想象没有移动设备的生活一样,经验丰富的互联网用户在上网冲浪时也不忘装上广告拦截软件。近些年来,广告拦截软件的普及程度呈直线上升趋势:根据PageFair和Adobe于2015年联合发布的报告显示,总计有1.98亿用户在台式电脑上安装了此类安全解决方案。 尽管移动广告相比台式机对用户的侵扰程度实在有过之而无不及,但在移动设备上安装广告拦截应用却始终未能普及。卡巴斯基实验室为此专门开发了一款免费的iOS应用—AdCleaner,它能自动拦截Safari移动浏览器中出现的横幅广告、链接和弹出窗口。 除了能拦截烦人的浏览器广告外,我们的广告拦截应用还拥有其他的好处。清除广告后的网页不仅打开速度奇快,同时耗费的流量也更少。除此之外,由于浏览器所需下载的内容减少,因此iPhone手机的电池续航能力也变得更为出色。 如果用户对自己心爱网站上的广告独有情钟的话,可以随时关闭该广告拦截应用,从而让Safari浏览器下载所有横幅广告。 有趣的是,PageFair和Adobe也开展了类似的研究并揭示了其中的原因,目的旨在鼓励用户在移动设备上安装一款广告拦截应用。约有50%的受访者表示,利用个人数据设计个性化广告是极不道德的行为。 对于这一观点,我们举双手赞成。这也是为什么卡巴斯基AdCleaner禁止任何广告代理追踪用户在线行为,如此他们就无法收集用户个人数据并随意滥用了。 你可以前往App Store下载这一新应用。该应用适用于iOS 9及更高版本系统,同时还与所有最新苹果产品系列完美兼容。 更新:本文中提及的应用已停止使用。

提示