Petya Ransomware现在是麻烦的两倍

Petya Ransomware现在捆绑了第二个文件加密程序，以便在无法替换计算机的主引导记录以加密其文件表的情况下捆绑。

Petya是一个不寻常的赎金软件威胁，首次在安全研究人员中出现“3月雷达。它不是直接加密用户的文件，而是加密NTFS磁盘分区使用的主文件表（MFT），以保存有关物理磁盘上的文件名，大小和位置的信息。

在加密MFT之前，Petya取代了计算机的主引导记录（MBR），其中包含启动操作系统的Bootloader的代码。Petya用自己的恶意代码替换它，这些代码显示了赎金笔记，并留下无法启动的计算机。

但是，为了在感染计算机后覆盖MBR，恶意软件需要获取管理员权限。它通过要求用户通过Windows中的用户帐户控制（UAC）机制来访问用户来实现。

在以前的版本中，如果Petya无法获取管理员权限，则它停止了感染例程。但是，在这种情况下，最新的变体安装另一个RansomWare程序，被称为MISCHA，该程序开始直接加密用户“文件，这是一个不需要特殊权限的操作。

“没有任何赎金软件开发人员讨厌留在桌面上的钱，这正是佩戴的是彼得亚的事情，”技术支持论坛BleepingComputer.com的创始人，在一个博客文章中。“与Petya不同，Mischa Ransomware是您的标准花园品种赎金软件，可以加密您的文件，然后要求赎金支付以获得解密密钥。”

Mischa目前要求的赎金是1.93比特币，或约875美元 - 高于一些类似的赎金软件程序。

将错误分开的另一件事是，除了文档，图片，视频和其他用户生成的文件之外，它还会加密可执行的（.exe）文件。这有可能以非功能状态将已安装的程序和操作系统留出，使得从受影响的系统中支付赎金更难。

Petya-Mischa Combo的安装程序通过垃圾邮件发送，该电子邮件呈现为作业应用程序。这些电子邮件包含指向在线文件存储服务的链接，该服务托管所谓的申请人和伪装为PDF文档的恶意可执行文件的图片。

如果它是下载和执行的，假的PDF文件首先尝试安装Petya，如果发生故障，它会安装Mischa。与Petya不同，可提供解密工具，目前没有已知的方法可以在不支付赎金的情况下恢复Mischa加密的文件。