Petya敲诈木马拆解

近日发现了一种新的敲诈类木马Petya。此木马的特点是首先修改系统MBR引导扇区，强制重启后执行引导扇区中的恶意代码，加密硬盘数据后显示敲诈信息，通过Tor匿名网络索取比特币。这是第一个将敲诈和修改MBR合二为一的恶意木马。哈勃分析系统获取到了木马样本，重现了敲诈流程。此木马的传播途径是通过邮件进行传播，邮件伪装成求职简历，目标是公司HR部门。此木马执行后，首先显示一个虚假的提示，让受害者以为系统正在进行磁盘扫描修复，实际上此时正在进行的是磁盘加密的程序.除了利用邮件社工传播和利用匿名网络+比特币支付赎金这两个共同的特点之外，木马作者开始尝试将各种不同的技术融合进木马之中，以增强反检测能力。像这次修改MBR的技术是比较传统的一种病毒恶意手法与敲诈流程串在一起，发挥了新的用途。敲诈木马的这类演化趋势值得我们持续关注和警惕。

投稿：腾讯安全管家（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）