Petya敲诈木马拆解

近日发现了一种新的敲诈类木马Petya。此木马的特点是首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过Tor匿名网络索取比特币。这是第一个将敲诈和修改MBR合二为一的恶意木马。哈勃分析系统获取到了木马样本,重现了敲诈流程。此木马的传播途径是通过邮件进行传播,邮件伪装成求职简历,目标是公司HR部门。此木马执行后,首先显示一个虚假的提示,让受害者以为系统正在进行磁盘扫描修复,实际上此时正在进行的是磁盘加密的程序.除了利用邮件社工传播和利用匿名网络+比特币支付赎金这两个共同的特点之外,木马作者开始尝试将各种不同的技术融合进木马之中,以增强反检测能力。像这次修改MBR的技术是比较传统的一种病毒恶意手法与敲诈流程串在一起,发挥了新的用途。敲诈木马的这类演化趋势值得我们持续关注和警惕。

投稿:腾讯安全管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

  • 原文地址:http://www.freebuf.com/articles/web/100386.html