TeslaCrypt告別勒索病毒 Ransomware (勒索軟體/綁架病毒)圈已經在網路犯罪世界掀起了波瀾。壞蛋們紛紛加入,希望在TeslaCrypt所留下的空缺裡分一杯羹。而和這起事件相呼應的是,眾多消息指出勒索軟體界新強者的出現:CryptXXX。
CryptXXX(偵測為RANSOM_WALTRIX.C)一直都有在進行更新;其中一次是在讓受害者可以不用付贖金的免費解密工具出現之後。它不僅會加密檔案,最新的CryptXXX變種還會鎖住螢幕,讓使用者無法進入桌面。
抵達媒介
CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。
圖1、利用Angler漏洞攻擊套件的CryptXXX感染媒介
一旦使用者瀏覽了受入侵網站或是惡意廣告,就會被BEDEP惡意軟體變種植入CryptXXX。一旦它進入系統,它會先檢查自己是否執行在虛擬環境。如果偵測到,就會將自己停掉。
讓CryptXXX很難被阻止的原因是它還會執行一個看門狗(watchdog)程式。CryptXXX會同時進行兩個動作;一個是加密,另外一個是偵測異常的系統行為。當看門狗(watchdog)偵測到異常系統行為就會停止加密程序,再重新啟動加密程序。這會導致將惡意軟體停止,而看門狗(watchdog)會重新啟動惡意軟體的一個循環。
圖2、CryptXXX同時執行的兩個svchost.exe程序