来自德国安全公司G DATA的恶意软件专家发现了一种新型锁定勒索软件利用DOS级别的锁屏阻止用户访问文件。
锁定勒索软件是加密勒索软件出现之前的第一种勒索软件。这种勒索软件并不会加密文件,只是会拦截用户访问数据。在多数案例中,它是一种锁定桌面的勒索软件,不过也有仅锁定浏览器窗口的勒索软件家族。随着时间的推移,锁定勒索软件也变得容易被删除,而且多数勒索软件网络犯罪分子现在都使用加密勒索软件变体,因为这些变体在“说服”受害者支付勒索金方面更加有效。也就是说现在出现锁定勒索软件的概率还是很小的。
Petya勒索软件传播到人力部门
Petya勒索软件是研究人员最新发现的一种锁定勒索软件,它通过鱼叉式钓鱼攻击活动对人力资源部发动攻击。该部门员工会收到一封邮件,里面含有存储在Dropbox的文件链接,员工可从中下载简历。这个文件是一个EXE文件,名称为portfolio-packed.exe,如被执行,那么就会导致系统崩溃。研究人员认为勒索软件修改了硬盘的MBR,阻止操作系统启动,并将重启进程劫持到恶意程序中。
不交勒索金就继续停留
一旦在出现蓝屏后重启计算机,计算机就会进入一个虚假的检查判(CHKDSK)进程,进程结束后就会加载Petya的锁屏。不断重启总会进入这个屏幕。该屏幕会出现Tor网站中的勒索软件支付站点链接。用户购买解密密钥之后就可以在DOS锁屏底部输入。Petya声称已将用户文件加密,但研究人员表示这种说法并没有根据,可能是个谎言。目前研究人员仍在分析,还未找到绕过锁屏重启操作系统的方法。