假冒履歷表的加密勒索軟體

趨勢科技發現俗稱
Petya的惡意程式
加密勒索軟體正進行一波新的攻擊,
惡意程式則透過發送電子郵件來散佈
一封看似應徵某項工作的電子郵件

信件內含連向Dropbox雲端空間
的連結,點選連結後會發現內含兩個
檔案:一是偽裝履歷表的自我解壓縮
執行檔,一是冒充求職者的照片檔
可讓收件人用來下載求職者的履歷。

針對勒索軟體企圖修改主要開機磁區
惡意行為,PC-cillin雲端版已能主動
偵測並加以封鎖,建議民眾可以立即
下載以保護自身電腦免於遭受攻擊。

勒索軟體Ransomware集團似乎
覺得,光是將檔案加密還不足以逼迫
使用者,因此,現在他們又開發一種
讓電腦出現藍色當機畫面,並在電腦
重新開機時顯示勒索訊息的加密勒索
軟體,使受害者無法進入作業系統。

感染加密勒索軟體後電腦會當機
重新開機會出現$組成的骷髏頭
閃爍紅色畫面。加密勒索軟體會修改
被感染電腦主要開機磁區,讓使用者
無法開機,更值得注意的是它會經由
Dropbox」的雲端服務進入電腦。

這並非惡意程式首次利用合法服務來
從事不法行為,但卻是第一次使用者
可能經合法服務感染加密勒索軟體。
感染方式有別於傳統以電子郵件附件
或含漏洞攻擊套件的惡意網站散佈。

分析的一個樣本中,發現此連結指向
一個Dropbox資料夾內含兩個檔案:
一是偽裝履歷表自我解壓縮執行檔,
一是冒充「求職者」照片檔。分析後
發現該照片應是網路上盜用的圖片

假冒的履歷表其實是一個自我解壓縮
的檔案,當使用者下載並開啟時就會
在電腦植入一個木馬程式。木馬程式
先讓系統上安裝的防毒軟體失效後,
然後再下載並執行加密的勒索軟體。

資訊來源趨勢科技|研究團隊
http://blog.trendmicro.com.tw/
?p=17168
NaMaSaLu 重新編輯|歡迎分享」

全站熱搜

NaMaSaLu 發表在 痞客邦 留言(0) 人氣()