Ny form for ransomware bruger kryptering på diskniveau til at låse brugere ud af deres computere

Ransomware er dårligt nok i sin nuværende form, men en ny variant af malware er blevet opdaget, som muligvis er værre end hvad vi har set før. Den ondsindede software, kaldet Petya, er ikke kun målrettet mod individuelle filer, den krypterer hele harddiske.

Mens flertallet af ransomware er spredt via e-mail vedhæftede filer eller er hostet på websteder og leveret af exploit kits, er Petya blevet fundet i e-mails, der indeholder hyperlinks til en Dropbox-lagerplacering (siden fjernet af firmaet), hvilket gør det mere legitimt.

Ifølge en Trend Micro blogindlæg, e-mailen maskerades som et ansøgningsbrev fra en person, der søger beskæftigelse i et firma. Et af linkene angiveligt peger på ansøgerens CV, men er faktisk en selvuddragende eksekverbar fil. Dette link downloader en Trojan, der blindserer antivirusprogrammer, inden der downloades og udføres Petya.

Når den er udført, overskriver Petya hovedstartfilen på hele harddisken, der udløser en kritisk Windows-fejl - den frygtede Blue Screen of Death. Når maskinen genstartes, ser pc'en ud til at udføre en kontroldiskoperation, men i løbet af denne tid krypterer Petya faktisk master-filtabellen (MFT), hvilket gør pc'en ubrugelig.

På dette tidspunkt får ofrene en låseskærm og instruktioner om, hvordan man opretter forbindelse til TOR, besøger et specifikt websted og betaler gebyret, som er 0.99 bitcoins, eller omkring $ 430. Hvis løsepenge ikke betales inden for syv dage, fordobles prisen.

De angribere, der kalder sig 'Janus Cybercrime Solutions', siger, at forsøget på at reparere master boot record ikke dekrypterer ransomware, og det kan medføre, at den købte dekrypteringsnøgle ikke fungerer.

Indtil videre har e-mails, der indeholder Petya-linkene, primært været rettet mod virksomheder i Tyskland, men de kunne begynde at nå ud over landets grænser. Forskere undersøger stadig denne nye form for ransomware, men der er stadig ingen rettigheder tilgængelige.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.