想知道現在最流行什麼嗎？很簡單：看看市面上什麼粗製濫造的仿冒品最多就知道了。最近，勒索病毒 Ransomware (勒索病毒/綁架病毒)似乎也開始經歷這個階段。

ZCRYPT 勒索病毒家族的作者要不是完全放棄 Windows XP 平台，就是程式粗製濫造。因為這個新的惡意程式家族只能攻擊 Windows 7 (含) 以上的作業系統。這讓人不禁懷疑 ZCRYPT到底是故意放棄那些老舊作業系統，還是單純只是程式沒寫好？

純粹的加密勒索病毒

ZCRYPT  乍看之下並無特殊之處，它會將使用者的檔案加密，特徵是會將附檔名改成 .ZCRYPT。以下檔案格式都是它的目標：

.zip、.mp4、.avi、.wmv、.swf、.pdf、.sql、.txt、.jpeg、.jpg、.png、.bmp、.psd、.doc、.docx、.rtf、.xls、.xlsx、.odt、.ppt、.pptx、.xml、.cpp、.php、.aspx、.html、.mdb、.3fr、.accdb、.arw、.bay、.cdr、.cer、.cr2、.crt、.crw、.dbf、.dcr、.der、.dng、.dwg、.dxg、.eps、.erf、.indd、.kdc、.mdf、.mef、.nrw、.odb、.odp、.ods、.orf、.p12、.p7b、.p7c、.pdd、.pef、.pem、.pfx、.pst、.ptx、.r3d、.raf、.raw、.rw2、.rwl、.srf、.srw、.wb2、.wpd、.tar、.jsp、.mpeg、.msg、.log、.cgi、.jar、.class、.java、.bak、.pdb、.apk、.sav、.tar.gz、.emlx、.vcf。

受害者必須在一星期內付款，否則它就會將前述檔案刪除。其要求的贖金為 1.2 比特幣（Bitcoin）幣 (約 500 美元)，四天之後贖金將自動提高到 5 比特幣 (約 2,200 美元)。其勒索畫面如下：

圖 1：勒索畫面。

不過，在只能在 Windows 7 (含) 以上的作業系統運作。根據趨勢科技的分析，當它在一些較舊的 Windows 作業系統 (如 Windows XP) 上執行時，不是無法將檔案加密，就是無法顯示勒索畫面。因為此惡意程式呼叫了一個舊版 Windows 所沒有的函式，因此在舊版作業系統上無法正常運作。

試圖經由 USB 隨身碟傳染

值得注意的是，這個家族還會試圖經由 USB 隨身碟傳染，它會將自己複製一份到可卸除式磁碟上。這樣的手法在加密勒索病毒當中算是少見，不過我們倒是曾在 2013 年 12 月發現的 CryptoLocker 變種看過類似行為，但此手法後來並未流行。對於加密勒索病毒的作者來說，當今主流的散播管道：惡意廣告和垃圾郵件，似乎已經足夠。

C&C 伺服器

此惡意程式幕的後操縱 (C&C) 伺服器位於一個叫做「poiuytrewq.ml」的網域下，該名字似乎就是鍵盤上「qwertyuiop」那一排按鍵的顛倒順序。這是一般標準 QWERTY 鍵盤的第一排字母鍵。而 「.ml 」是馬利共和國 ( Mali) 所分配到的頂層網域，該網域從 2013 年 4 月起就開放讓人免費註冊其旗下的網域。(散播 ZCRYPT 變種的網址也是位於  .ml 網域。)

由於該網域的註冊機構會保障註冊者身分的隱私，該程式的幕後歹徒因而免費賺到私密性。不過其 C&C 伺服器的網域目前已被標記為「註銷、停用、拒用或保留」。

業界實務

定期備份資料仍是防範加密勒索病毒的最有效方法，遵守  3-2-1 原則 可確保您就算遇到類似的威脅，也還有一份資料可用。我們強烈建議您千萬別支付贖金給歹徒，因為這樣只會讓他們日益壯大。

趨勢科技堅持向勒索病毒說「不」，我們強烈建議使用者不要支付贖金，因為這樣會助長網路犯罪，讓勒索病毒更加氾濫。

趨勢科技解決方案                                     

趨勢科技提供了各種不同解決方案來保護大型企業、中小企業以及家庭使用者，協助使用者降低 ZCRYPT 這類加密勒索病毒的風險。

大型企業可循序漸進採用多層式的防禦來盡可能降低這類威脅的風險。有趨勢科技 Deep Discovery™ Email Inspector和 InterScan Web Security 這類電子郵件和網站閘道解決方案，可防止勒索病毒到達使用者端。在端點裝置方面，有趨勢科技 Smart Protection Suites 提供的行為監控和應用程式控管，可防堵漏洞並降低這類威脅的衝擊。在網路方面，有趨勢科技 Deep Discovery Inspector 可偵測並攔截勒索病毒。至於趨勢科技Deep Security 則可防止勒索病毒進入企業伺服器，不論實體、虛擬或雲端伺服器皆適用。

對於中小企業，Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護。其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能，例如：行為監控和即時網站信譽評等。

在一般使用者方面，趨勢科技PC-cillin2016雲端版 可針對勒索病毒提供完整的防護，它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。

除此之外，使用者還有我們一些解密免費的工具可利用，例如：趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒，而趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案，這樣您就不須支付贖金，也不需解密金鑰。

TippingPoint 客戶可透過下列 ThreatDV 過濾規則 (預計 5 月 31 日釋出) 來防範這項漏洞攻擊：

• 24733: HTTP: Ransom_ZCRYPT.A

相關雜湊碼

D14954A7B9E0C778909FE8DCAD99AD4120365B2E – Ransom_ZCRYPT.A

原文出處： Crypto-ransomware Attacks Windows 7 and Later, Scraps Backward Compatibility)

作者：Jasen Sumalapao (威脅回應工程師)

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼