G DATA BLOG: https://goo.gl/ze447Q
在卡饭看到的。
跟以前一些 WinLocker 不一样,那些勒索是:开机还是能开机,
但进去 Windows 之后会锁住你的操作,简单利用一些工具就能解开,
大不了重灌反正档案还是能捞得出来。
但是 Petya 更贱,它会写入 MBR 让电脑当机之后,
重新启动不会进去 Windows 而是显示一个假的磁盘扫描程式,
假装在扫描其实是在加密,硬盘整颗锁起来不给你用。
之后会秀一个可怕的红色骷髅头闪闪闪,跟你说该付钱囉。
就算拔到其他电脑也看不到档案。
建议中奖之后(怎么知道中奖?啊灾)不要马上重新启动电脑,
因为一重开看到那个假扫描开始加密就麻烦了。
Windows 光盘开机用 bootrec /fixmbr 把 MBR 修复就没事了。
看讨论区有人说对 GPT 分割没效。
样本本身 UAC 会挡下,虽然威力很强但这个应该比较不会流行。
作者:
BITMajo (BITMajo)
2016-03-26 14:26:00唉,进入大勒索时代了
作者:
abram (科科)
2016-03-26 14:48:00不知道MBR转为GPT有没有副作用
我把Windows自动修复的LOG看成是勒索软件留下的了 囧
作者:
yehmd (牧叶 德国队加油)
2016-03-26 17:06:00哇………
作者:
Cubelia (天空の夜明け)
2016-03-27 01:46:00会不会锁档案-会 会不要要求赎金-会会不会让使用者感到恐惧-绝对会
作者:
estupid (For What)
2016-03-27 02:58:00惊吓指数100
作者:
abram (科科)
2016-03-27 08:50:00跟现在Crypt系列差别? 就是加密整颗硬盘的概念 非档案而已
作者:
eyeonme (看什么看)
2016-03-27 12:24:00差别喔 Crypt系最多不要档案 电脑可以继续用甚至有机会救回 (如果中的是已经破解的版本Petya中了就付钱or重灌吧 目前无解
作者:
wuliou (wuliou)
2016-03-27 14:42:00越来越机车了
作者:
skychy (就跟你说不要那么囉嗦..)
2016-03-27 14:52:00不过这种重开机才开始加密的作法,代表加密金钥应该还在电脑里吧?反而是相对容易找出对策的样子
作者:
jackyT (Ubuntu5566)
2016-03-27 17:25:00相对容易找对策+这种漏洞难找=想出来的没用脑
一般状态下应该没办法动到MBR吧,再笨的防毒应该都会拦
这种单一行为智慧型的主防反而不太会拦的样子,BD GDSEP AVG 似乎都挂掉
作者:
abram (科科)
2016-03-28 08:31:00浏览器用沙盒 应该就不会被动到MBR了吧 是吗?
作者:
abram (科科)
2016-03-28 08:32:00那就放心了 谢谢啦!
作者:
mathrew (Joey)
2016-04-02 10:25:00整颗加密反而要不到钱 一般user会以为电脑坏掉赚到的会是电脑店老板而且这种做法 要怎么付钱? 没网络啊用别台或ibon 输入 code 吗?