近月多款加密勒索病毒(Ransomware)肆虐,包括早前香港電腦保安事故協調中心點名的Locky外,上月另一名為Petya的加密勒索病毒,也開始活躍。該病毒不是把電腦文件加密,而是把電腦的開機檔案加密,令電腦不能開機啟動,比Locky更絕。
不過,Petya肆虐兩周後,竟然有人發現該病毒的漏洞,並自製解密工具,讓受害者自行解密,免費將之剷除。原來這電腦病毒並沒有把電腦上的文件加密,只是破壞硬碟上的開機檔案Master Boot File,令電腦不能開機而已。用戶只要把檔案還原,電腦便可正常啟動。
黑客設計Petya時,可能貪方便,在加密開機檔案時,沒有使用複雜的加密程序,只是簡單地把檔案的部分內容調亂,便破壞了開機檔。黑客在開機畫面顯示勒索,要求受害者按方法繳付贖金,才能取得解密方法。但有人發現,由於電腦文件沒有被加密,因此只要修復開機檔案,電腦便可回復正常。
修復方法已在網上公開,不幸遇上Petya的受害者,毋須繳付贖金,可自行修復電腦。然而,道高一尺魔高一丈,今次病毒被破解了,下一代的病毒將可能升級,使用更強的加密方法,令受害者不能自行修復。
Petya使用電郵和Dropbox連結入侵,假電郵偽裝為求職信,誘騙受害者開啟履歷。電郵中有一個Dropbox連結,用來打開履歷文件,但該文件原來是一個exe檔案,當檔案一打開運行,電腦就中招。因此千萬不要亂開求職信中的連結或電郵附件。
電郵:ray@openrice.com