Reveton勒索軟體的下一代,CryptXXX出現  

趨勢科技 TrendMicro 勒索病毒/勒索軟體

 

 

最近有一波新的勒索病毒 Ransomware (勒索軟體/綁架病毒),自三月底開始爆發。Proofpoint的研究人員加上安全分析師Frank Ruiz所提供的情報,發現了一個被稱為「CryptXXX」的新勒索軟體,根據其描述,它與早期的勒索軟體Reveton有明顯的關聯。

這個勒索病毒 Ransomware是由BEDEP惡意軟體所散播,透過Angler漏洞攻擊套件來感染系統。研究人員在文章內描述「Angler漏洞攻擊套件結合BEDEP來散播勒索軟體和Dridex 222」。這代表放有Angler漏洞攻擊套件的網頁被用來散播CryptXXX。此攻擊套件接著利用系統漏洞來植入BEDEP。因為其「惡意軟體下載」能力,CryptXXX會以第二段感染的方式出現,它是會延遲執行的DLL程式,至少要等待62分鐘才會作用。一旦勒索病毒 Ransomware開始執行,它會加密檔案並加上.crypt副檔名。

 

[延伸閱讀:勒索病毒白皮書]

 

跟其他勒索軟題類似(特別是Locky勒索軟體TeslaCryptCryptowall),這個變種會產生三種類型的檔案(de_crypt_readme.bmp、de_crypt_readme.txt、de_crypt_readme.html)來通知受駭系統的使用者,要求贖金以取回檔案。據研究人員所說,勒索病毒 Ransomware要求很高的贖金,每個系統500美元,跟過去常見的勒索金額相差甚遠。此外,CryptXXX具備防虛擬機器和防分析能力以躲避偵測,它會檢查註冊表內的CPU名稱和安裝攔截程序(hook procedure)來監視滑鼠活動。

CryptXXX還被發現會竊取比特幣Bitcoin,同時還能在目標系統上掠取身分憑證和個人資料。趨勢科技的研究人員發現,它能夠從FTP、即時通和郵件應用程式中竊取資料。根據部落格文章,「這點是能夠預期的,因為BEDEP長久以來都會帶來資料竊取程式。具體地說,它在2014年11月至2015年12月中會帶來Pony。接著用一個無紀錄的「私有竊取程式」來取代Pony,一直持續到2016年3月中。我們相信勒索軟體內的資料竊取功能和BEDEP所散布的「私有竊取程式」內的一樣」。

跟Reveton的關聯

主要是根據研究人員對感染載體及其歷史所進行的分析,找出CryptXXX顯然跟Angler和BEDEP背後的團體有關。另外根據報導,此勒索軟體名稱是基於所見到帶有XXX字元的兩個字串,這是Angler漏洞攻擊套件的真實名稱,其策劃者也被認為主導了Cool EK和Reveton。

對CryptXXX的調查和分析仍在進行中,但發現它的研究人員也對其潛在的巨大影響提出警訊。其他最近出現的變種可能都不會有如此大的影響,因為其背後的技術和經驗都比較缺乏,可見CryptXXX不會只是曇花一現而已。

該部落格寫道:「鑑於Reveton長期以來成功以及其大規模的散播能力,我們預計CryptXXX會變得更加猖獗。」不只如此,因為Angler漏洞攻擊套件也在數量上具備優勢,所以一旦有更多惡意分子加入這種攻擊,就會造成更嚴重的損害。就如同在Locky勒索軟體攻擊好幾個產業別後馬上驚動整個世界。

今日的勒索病毒 Ransomware已經出現顯著的進化,從一開始只是嚇唬人的威脅軟體到現在成為鎖住檔案和系統的致命惡意軟體。在近期,更新也更加複雜的勒索病毒 Ransomware體變體持續出現,迫使當局加重打擊勒索軟體的力道。

趨勢科技的端點解決方案如趨勢科技PC-cillin雲端版趨勢科技 Smart Protection SuitesWorry-Free Pro可以保護個人用戶和企業免於此威脅。強化密碼及停用Office軟體的巨集開啟功能,加上定期更新修補程式都是可以遠離勒索軟體的有效方法。儘管此類威脅會企圖讓備份檔案變得無用,但備份仍是有效的防禦方式。此外,趨勢科技趨勢科技Deep Security提供實體、虛擬和雲端伺服器先進的伺服器安全防護。它可以保護企業應用程式和資料免於入侵外洩,也不會因為需要緊急更新修補程式而導致日常運作的中斷。此一全面性的集中管理平台有助於簡化安全操作,同時實現法規遵循和加速虛擬化及雲端計畫的投資回報。

 

@原文出處:Reveton Ransomware Descendant, CryptXXX Discovered
延伸閱讀:

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集


如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?

 

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體

ransomware banner

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

相關文章:

勒索病毒MongoLock變種不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區
散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅
PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!
預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)