天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件 > 安全>新闻>勒索软件Petya降临企业网络成攻击标

新型勒索软件Petya降临 企业网络成攻击目标

Yesky软件频道2017-03-15 14:26我要吐槽

  在黑客没有节操的情况下,一组攻击者发现了一种劫持Petya勒索软件的方法,并将其用于针对缺乏程序创建者知识公司的攻击。这种计算机木马被称为PetrWrap,主要用来攻击企业网络。安装Petya于计算机上,然后为其运行增加补丁以满足其需求,据反病毒供应商卡巴斯基实验室的安全研究人员表示。

  为了使用编程的方法来欺骗Petya,该木马使用不同于其原始创建者嵌入其代码中的加密密钥。这确保,只有PetrWrap攻击者可以将受影响的计算机恢复到先前状态。

  木马还从赎金消息中删除所有提到的Petya,以及在ASCII中展示的它的红色签名头骨设计。

  一年前,Petya首次出现,马上超越其他所有勒索软件程序。在运行上,它并不是直接加密文件,而是用通过启动操作系统硬盘驱动器的主引导记录(MBR)代码替换加密驱动器文件表(MFT)的恶意代码。

  MFT是NTFS卷上的特殊文件,包含有关其他文件的所有信息:它们的名称、大小和硬盘扇区的映射。用户文件的实际内容不被加密,但没有MFT,操作系统仍然不知道这些文件在磁盘上的位置。

  不像其他勒索软件只锁定特定文件并进行加密,Petya能够锁定整个计算机。随着MBR和MFT受到损坏,操作系统将不再启动,用户只有在打开它们的计算机时,才能收到屏幕上的赎金信息。

  未经作者同意,劫持和使用Petya的决定是聪明的,因为它解决了PetrWrap攻击者的几个问题。首先,他们不必编写自己的勒索软件程序,因为这很难实现,它们也不用为别人提供现成的解决方案。

  第二、因为它已经存在一段时间,Petya有时间发展成一个成熟发达的恶意软件。 PetrWrap攻击者使用Petya 3版本,这是该程序的最新变种,它与之前的版本不同,没有已知缺陷。因为它的创作者已经实现,让它们的加密随着时间的推移更加完美。

  从头开始创建类似Petya的东西不仅容易出错,而且还需要知道为MBR编写低级引导程序代码。

  一旦进入网络,PetrWrap攻击者就会查找并窃取管理凭据。 然后他们使用PsExec工具将恶意软件部署到他们可以访问的所有端点计算机和服务器

  没有工具来解密受Petya影响的硬盘卷的MFT,但是因为这个恶意软件实际上并不加密文件内容,一些数据恢复工具可能能够从硬盘原始数据重建文件。

作者:万佳责任编辑:万佳)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]
手机整机DIY企业级