勒索軟體新手法,可免費贖回一個加密檔案,然後…

趨勢科技 TrendMicro 勒索病毒/勒索軟體

趨勢科技自從在2013年底注意到加密勒索軟體家族以來,就持續地監控其修改及演進的過程。雖然加密勒索軟體在威脅環境中相對較「新」,但已經將自己打造成對無辜使用者的巨大威脅。加密勒索軟體就是類似Cryptolocker這樣會去透過檔案加密功能來強化的勒索軟體。

ransom 勒索軟體

趨勢科技發現這兩個變種持續進化的加密勒索軟體。

ransom 勒索軟體

CoinVault 勒索軟體讓受害者可免費解密一個檔案

CoinVault(或稱TROJ_CRYPTCOIN.AK)勒索軟體從其他變種脫穎而出是因為它提供使用者一個少見的機會:解救一個加密檔案的機會。這惡意軟體經由從惡意網站或受感染隨身碟來自動下載以進入系統。一旦存在系統內,CoinVault能夠收集資訊,連到特定網站,並且加密檔案。

加密受感染系統的檔案後,CoinVault會秀出一段訊息來告訴使用者可以選擇免費解密一個檔案。

圖1、CoinVault在受感染系統中秀出的影像

 圖2、(左):TROJ_CRYPTCOIN.AK(或CoinVault)勒贖訊息,(右)TROJ_CRITOLOCK.A勒贖訊息

經過進一步分析,TROJ_CRYPTCOIN.AK 看來是九月出現的「Cryptograhic Locker勒索軟體」變種TROJ_CRITOLOCK.A的更新。一個明顯的差別是它使用不同的桌布和圖形化介面(GUI)。此外,Cryptograhic Locker勒索軟體變種(TROJ_CRITOLOCK.A)使用進階加密標準(AES-128)加密法,而其更新版本(TROJ_CRYPTCOIN.AK)使用AES-256。這個加密法加上免費加值模式讓TROJ_CRYPTCOIN.AK(或CoinVault)有別於之前的加密勒索軟體。

TROJ_CRYPAURA 勒索軟體指示受害者聯絡特定郵件以取得贖金支付指示

另一個勒索軟體變種(偵測為TROJ_CRYPAURA.A、TROJ_CRYPAURA.B和TROJ_CRYPAURA.C)採用和CoinVault不同的做法。並非將所有解密付贖資訊放在勒贖訊息中,而是指示受害者聯絡特定電子郵件地址以取得進一步指示。

圖3、勒贖訊息指示使用者連絡一電子郵件地址

 

圖4、透過電子郵件給予指示

發信到所述的電子郵件地址會得到完整的說明。使用者將一個被加密檔案上傳到指定檔案儲存網站並將連結發送給這些惡棍。然後他們會解密該檔案以做示範。想要取得解密程式及密碼,則需要透過比特幣支付大約500美金。

會重新命名加密檔案,將攻擊者電子郵件地址加到新檔名中。

免費取回檔案:是還是不是?

提供免費解密看來奇怪,但它其實是種說服使用者的手段。解密一個檔案告訴了受害者其他檔案也可以被回復 – 如果他們願意付錢。但當然,並沒有任何保證當使用者支付贖金後就可以完全回復。更有可能的是這些手段只是讓使用者願意上鉤的誘餌,而他們的檔案還是會永遠的失去。

即使網路犯罪分子用CoinVault 綑綁免費贈送服務,最好還是採取防範措施去保存檔案以應對勒贖威脅。將備份檔案變成日常習慣,同時在不同位置採取手動和自動備份,透過外部硬碟或使用雲端安全服務。另一積極措施是不要點入可疑電子郵件或來源的未知網站。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以封鎖所有威脅相關檔案和惡意網址來保護使用者解決 CoinVault 和 CRYPAURA 惡意軟體。
相關雜湊值如下:

  • 0720cb0a1b377d5cced5c1e28a5d755a1974e0b5
  • 451d2a60192d5a49c13dd4aed19c15448358969d
  • 3bb6abf2154d5900bdc942d40e78adb596b46a50
  • 947fe1e52159cd09ebb4da0c1f27d1edd02e753e
  • 2737a9fdf1cb1f4f26b2310193d869106c984a5c
  • d77b09ca286a7d009293545233bbfb557eb98f5c
  • 66179a3c64740c943f799de99e23098f7028d1a2
  • a637083a98e40d142308b57722a5f1586db70899
  • de7ced27456a1e4581d6a4bf126f56061b7f9859
  • e7701cb474ba9613d723cb26eb3465f22e34c029
  • 4b367a7de376d904be2ce88e980b8f0e46b13cd2
  • 5f71be645e8ac995555a891087b46ed357386dbe
  • 979d7dfd23c2b69f104fcb07a765ff3c55a7fe88
  • 900d801deaac26c555c46361111f7559b7306922

 

@原文出處:CoinVault Ransomware Jumps on Freemium Model作者:Rhena Inocencio(威脅回應工程師)

免費下載 防毒軟體 PC-cillin 試用版下載

 

相關文章:

勒索病毒MongoLock變種不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區
散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅
PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!
預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)