3月和4月作为招聘高峰,招聘企业人力资源部门收到的求职邮件迅速增多,HR面对大量邮件往往放松警惕,这也让不法分子有可趁之机。近日,哈勃分析系统发现一种新的敲诈类木马“Petya”,该木马定向企业HR部门邮箱,伪装成求职者简历文件,诱使HR打开文件后,给文件加密,达到敲诈获利的目的。
网络招聘成为很多企业的重要招聘渠道,企业人力资源部门也将面对数量激增的求职简历邮件。近日,有企业HR反映,收到求职邮件并打开其中附件后,出现电脑重启,然后文件被加密的情况,受害用户想看到文件内容,被要求支付赎金。
图1:木马运行界面
图2:木马敲诈页面
腾讯反病毒实验室分析发现,该公司HR部门收到的邮件实际为一种名为“Petya”的敲诈木马。受害用户打开携带病毒的邮件附件,木马即开始运行,首先修改磁盘引导扇区,接管电脑启动流程。然后,木马强制重启电脑并显示一个虚假提示,让受害者以为系统正在进行磁盘扫描修复,实际上该过程正是木马对磁盘文件进行加密。
加密完成后,木马会显示敲诈信息,要求受害者根据指示支付赎金,以换取密码解密磁盘。此时,受害者已无法正常进入系统,即使直接访问硬盘也只能获取到加密后的数据,为了找回自己电脑中原有的文件,只得乖乖支付赎金。
腾讯反病毒实验室安全专家马劲松表示,自不法分子从敲诈木马中获得非法利益后,各种不同类型的敲诈木马开始大量涌现,木马作者开始尝试将各种不同技术融合进木马之中,以增强反检测能力,这类演化趋势需要我们提高关注和警惕。
图3:腾讯电脑管家准确查杀
图4:哈勃分析系统检测为高度风险
目前,腾讯电脑管家和哈勃分析系统已经可以对该木马进行检测和查杀。同时,他建议,不要轻信邮件携带的附件,如果下载到可疑文件,建议先通过腾讯电脑管家(http://guanjia.qq.com/)进行扫描,或者上传到哈勃分析系统(https://habo.qq.com/)进行分析,确认文件安全再运行。