從目前的安全形勢來看，2016年似乎快成為了’勒索軟件之年’，各種勒索軟件的新家族和新版本層出不窮，如雨后春筍般紛紛涌現。

勒索軟件”進化”速度之快幾乎超出了我們的想象。許多新版本的勒索軟件通過將非對稱加密法和長位數密鑰結合使用，使得受害人在缺少密鑰的情況下根本無法解密文件。此外，不法分子也開始使用洋蔥路由和比特幣支付方式，因此隱匿得無影無蹤。而最新出現的Petya勒索軟件在某種程度上能快速加密整個硬盤，而不是像過去的勒索軟件那樣對文件逐一加密。

　　Petya是如何潛入PC電腦的

Petya勒索軟件的主要攻擊目標是商業用戶，通過偽裝成求職信的垃圾郵件偷偷潛入受害人電腦。其標準的病毒感染場景如下所述：

公司人事的郵箱內收到來自某人的職位申請電郵。該封電郵中含有保存在Dropbox的文件鏈接，表面看似是一份普通的簡歷，但實際上卻是一個EXE格式的可執行文件。

受害人在點擊文件后發現根本不是什么求職者簡歷，但已為時已晚。電腦瞬間變成藍屏死機。這意味著Petya已成功潛入受害用戶的PC電腦并開始一系列惡意操作。

你的硬盤已成為不法分子的’獵物’

普通勒索軟件通常只會加密特定類型的文件—圖片和辦公文檔等等—但卻不會對操作系統造成任何危害，因此受害人還能使用受感染的PC電腦支付贖金。而Petya似乎做得”更不近人情”，其唯一目的竟然是阻止受害用戶訪問整個硬盤。

簡而言之，不管你的硬盤如何設置，也不論你的硬盤分一個區還是多個區，總是有一部分磁盤空間是用于存儲所謂的”主引導記錄”（MBR）。其中不僅包含了所有關于分區數量和設置情況的數據，還含有一個能引導操作系統的代碼—被稱為’引導裝載程序’。

這一引導裝載程序每次總在操作系統正式啟動前運行。而這正是Petya感染的對象：它會通過修改引導裝載程序，從而載入Petya惡意代碼而不是PC電腦上安裝的任何操作系統。

在用戶看來，這如同在執行磁盤檢查，因為通常操作系統崩潰后都會進行這樣的磁盤檢查。但事實上，卻是Petya在對主文件列表進行加密。主文件表同樣是你硬盤上的另一個隱藏部分。該表內含有關文件和文件夾分配情況的所有信息。

你完全可以將自己的硬盤想象成一個巨大的圖書館，里面存放了數百萬甚至數十億本書籍。而主文件表則好比是圖書館索引。這一解釋還是過于簡單，讓我們與實際情況相結合：你硬盤上的’書籍’很少是以”每本”為單位保存，而是以單頁甚至殘頁的形式保存。也就是成堆地存放。且沒有任何順序可言，幾乎都是隨機存放的。

通過這樣的解釋，你應該能大概明白一旦圖書館索引被盜的話，幾乎沒有可能找出任何一本完整的書– 而這正是Petya勒索軟件攻擊的方法。一旦成功得手，Petya勒索軟件即顯現出其本來面目，用ASCII 符號繪制成的骷髏頭圖像。接下來一切都是例行公事：惡意軟件要求用戶必須支付贖金（0.9比特幣，相當于380美元）才能解密硬盤并恢復所有文件。

Petya與其它勒索軟件唯一的區別在于：能完全脫機運行，考慮到它已將整個操作系統’徹底消滅’，因此也沒有什么好奇怪的。因此，用戶必須使用另一臺電腦來支付贖金并恢復被加密的文件。

對抗Petya勒索軟件

不幸的是，正如其它最新的惡意軟件類型一樣，研究專家們依然無法找到有效的方法來解密被Petya加密的信息。但你仍然可以采取一些安全措施來保護自己的硬盤和文件，并且我們也帶來了一些有關Petya散播的一些好消息。

好消息是，Dropbox已在其云存儲中徹底清除了所有含有Petya勒索軟件的惡意文檔。因此現在不法分子必須另尋他路，找到其他的散播方法。壞消息是，他們應該很快就能找到替代品。

好吧，我們還是重新回到安全保護話題。我們到底該采取哪些安全措施呢？

1、受害用戶在看到藍屏死機時，實際上此時硬盤數據還未受到感染，因為Petya并未開始對主文件表進行加密。因此一旦碰到電腦因Petya勒索軟件攻擊而導致藍屏死機，正確的方法是重新啟動并執行磁盤檢查—然后立即關閉電腦。因為此時此刻，你依然能移除硬盤，然后接到另一臺電腦（但千萬不要將其用作引導設備）上并恢復所有文件。

2、Petya只會加密MFT而不會感染文件本身。文件依然可以由安全專家在硬盤中完成恢復。但這一過程不僅復雜也相當費時，同時還必須付出一筆不菲的費用，但基本來上說卻完全可行。但千萬不要在家里使用這一方法恢復文件—因為一個小小的錯誤就可能徹底毀掉你的文件。

3、主動保護硬盤安全的最佳方法是使用一款出色的安全解決方案。卡巴斯基安全軟件會阻止垃圾郵件進入，因此你根本不會看不到含Petya鏈接的電郵。就算Petya能成功潛入，也會被卡巴斯基安全軟件檢測為Trojan-Ransom.Win32.Petr病毒，并阻止其所有活動。此外，我們的所有其它反病毒解決方案也同樣具有這一功能。

現在購卡巴斯基安全軟件2016抽大獎，繽紛好禮等你拿！即日起至5月5日，親購買指定卡巴斯基產品，可抽取豐富新春大禮，電腦安全舍我其誰！新年伊始，讓我們一起迎春！即刻訪問kaba365（http://kaba365.com/）或致電卡巴斯基客服：400-819-1313選購屬于您的全新卡巴斯基安全軟件2016。電腦安全，交給卡巴，“猴賽雷”啦！