Mischa和Petya：一对形影不离的”勒索软件”组合

Petya和Mischa是一对好朋友。他们几乎做什么事情都在一起…

噢，等等，这可不是什么《傻瓜俄语》书，而是卡巴斯基每日博客。Petya和Mischa都是勒索软件，通常”躲藏”在同一个安装包内向无辜用户传播病毒。

如果你经常关注卡巴斯基每日博客，或常追踪网络安全领域的新闻，你一定知道Petya。我们之所以为它写了两篇专题博文，是因为在Petya出现后的几周内，就有个叫@leo_and_stone的推特用户编写出了针对Petya的解密器。

Petya之所以能从众多勒索软件中”脱颖而出”，是因为它除了加密某些类型的文件外，还会通过加密计算机主文件表让整个硬盘无法读取。因此，一旦不幸遭到Petya加密，要想支付赎金的话还需在另一台PC电脑上操作。即便使用leo_and_stone编写的解密工具，也仍需用到另一台PC电脑，但却无需支付赎金。

当Pety遇到Mischa

当然Petya也有自己的弱点。在开始加密前，Petya首先需要获取根访问权限。除非用户同意授予权限并按下’是’按钮，否则对用户计算机不会造成任何危害。为此，Petya的作者采取了补救措施，为了Petya找了个好伙伴Mischa—另一个起了”俄罗斯名字”的勒索软件。

Petya与Mischa之间的差别主要体现在两方面。Petya会让整个硬盘无法访问，而Mischa只会加密某几种文件，这可能是个好消息。而坏消息是，和Petya不同的是，Mischa并不需要管理员访问权限。似乎黑客作者早已想好了Petya和Mischa能取长补短，成为”无敌组合”。

Mischa看起来与普通勒索软件并无二异，总是时不时会跳出来。采用AES加密方法对你计算机上的数据文件进行加密。正如Bleeping Computer博客提到的，会在被加密文件后增加4位扩展名，例如：test.txt就变成了test.txt.7GP3。

Mischa的”胃口”相当大，可以说囊括了几乎所有文件；甚至还包括.exe后缀的可执行文件，这意味着Mischa能阻止用户运行几乎所有程序。但在Mischa加密过程中，Windows文件夹和安装浏览器的文件夹却总能幸免于难。加密完成后，Mischa还会为受害用户”贴心地”创建两个”支付指南”文件：

Petya和Mischa通过伪装成求职信的钓鱼邮件进行传播。一旦Mischa被发现，它会进入”PDFBewerbungsmappe.exe”文件（德语，意思是”PDF求职文档”）。从其德语文件名及传播方式显然可以看出，它的主要攻击目标是德国企业。

#Petya #勒索软件联手#Mischa实施攻击

Tweet

当用户试图打开含有Mischa和Petya的.exe文件，会立即跳出用户账号控制窗口，询问用户是否愿意授予该程序管理员访问权限。但无论选什么都会感染病毒。如果用户选”是”，则自动安装Petya。如果选”否”，则Mischa进行安装。

Mischa显然比Petya更加”贪心”：索要1.93个比特币赎金，价值约875美元。而Petya却只要0.9个比特币作为赎金。

有趣的事实（勒索软件带给我们的欢乐非常有限）：Petya是个俄罗斯名字，但Mischa尽管看上去像，其实并不是。俄罗斯人可能会起名叫”Misha”，中间没有”c” —因为中间加个”c”读起来很奇怪！

可惜，目前互联网上还没有针对Mischa的解密工具。针对Petya倒是有一个，但需要有多余的PC电脑并掌握一些计算机技巧。

因此，为避免成为Petya或Misсha勒索软件的受害人，或免遭Vasya、SuperCrypt和El Rapto等勒索软件攻击，我们建议您按如下方式操作：

1.备份文件。有事没事就备份一次。如果所有被加密文件都有备份的话，你完全可以忽视任何勒索软件的存在。

2.不要信任网上的任何人，同时提高警惕。一份求职信会带有.exe后缀名？嗯，只要看上去可疑，就千万不要打开。安全高于一切！

3.安装一款出色的安全解决方案。卡巴斯基安全软件采用多层保护方式，能有效阻止Mischa或其它勒索软件进入计算机。

卡巴斯基安全软件内置反垃圾邮件组件，能有效防范垃圾邮件和钓鱼邮件。同时还具有反病毒功能，可彻底查杀Mischa（又称Trojan-Ransom.Win32.Mikhai）和Petya（又称Trojan-Ransom.Win32.Petr）。系统监视也是其主要功能之一，能有效检测出系统异常活动（例如，试图加密多个文件）并予以阻止。卡巴斯基全方位安全软件拥有上述所有强大功能，同时附带能自动创建备份的工具。