模拟MBR人质威胁的企业网络安全分析

5月30日消息，近期安全厂商发现跟之前所看到不同的勒索软件变种。一个典型的勒索软件 Ransomware会加密文件或限制使用者使用受感染系统。根据发现，这个特殊变种会感染主要开机磁盘（MBR），防止操作系统被启动。据分析，这个恶意程序会复制原本的MBR，再用自己的恶意程序代码覆盖掉。一旦感染完成，它会自动重新启动系统让感染生效。当系统重新启动后，勒索软件会显示以下讯息：


　　这个讯息告诉使用者这台电脑已经被封锁了，他们需要透过支付系统QIWI交付920乌克兰币（UAH）到一个12位的电子钱包号代码 – 380682699268。付钱之后，他们会收到一个代码来解锁系统。这个代码应该会恢复操作系统和移除感染。这特殊变种有“解锁代码”存在，一旦使用解锁代码，MBR感染就会被回复。







　　勒索软件仍然存在

　　不幸的是，可能还不会看到勒索软件攻击停止。去年二月，有攻击者入侵法国糖果店网站Ladurée以散播恶意软件。当使用者访问这个被入侵的网站后，系统就会感染TROJ_RANSOM.BOV。这个变种软件会伪装成法国国家宪兵，显示要求中毒使用者付钱的通知。攻击者同时也会伪造意大利、德国、比利时和西班牙警方的通知。

　　虽然被其它更有新闻价值的威胁所掩盖了，但勒索软件 Ransomware攻击绝对没有消失。事实上，这种威胁似乎更加蓬勃发展，从勒索软件感染在欧洲其它地区的成长中可以看出。

　　安全厂商趋势科技透过主动式云端截毒服务 Smart Protection Network来侦测并移除所有相关恶意软件。使用者还可以利用修复主控台来回复MBR原来的设定。想了解相关资讯，你可以到这参考我们的威胁百科全书。

　　作为预防措施，使用者必须将他们的系统跟软件都更新到最新的安全修补程序，并且避免点选可疑邮件里夹带的连结。

　　＠原文出处：Ransomware Takes MBR Hostage 作者：Cris Pantanilla（威胁反应工程师）

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友