加密勒索軟體與「客戶」線上聊天對話實錄

 

加密勒索病毒 Ransomware (勒索軟體/綁架病毒)為了讓支付贖金的過程更容易,開始利用線上聊天與受害人進行溝通。這些新變種(偵測為Ransom_JIGSAW.H)所顯示的訊息跟早期 JIGSAW(奪魂鋸)變種類似:

圖1、 奪魂鋸ㄉJIGSAW勒贖訊息
圖1、 奪魂鋸JIGSAW勒贖訊息

 

有一個顯而易見的分別是:新變種有連結可以進入線上聊天功能:

圖2、奪魂鋸JIGSAW線上聊天功能
圖2、奪魂鋸JIGSAW線上聊天功能

 

為了測試可以做到什麼程度,我們假裝來自紐約的某公司員工,因為辦公室電腦感染了奪魂鋸JIGSAW加密勒索病毒而與”線上客服”對談,我們的對話出現在左邊,網路犯罪分子在右邊。兩邊都未經過編輯。 對話如下:


chat

中文翻譯如下:

需要我幫忙嗎?

你真的能解密我的檔案?

是的

這是自動的
只要收到付款,你所要做的就是點擊付款
系統會即刻驗證

你們為什麼要這樣對我們?

我是來幫你取回你的檔案。
讓我知道你是否需要其他說明或協助

我死定了!我老闆會開除我

 

你所要做的就是支付150美元。紐約有比特幣(Bitcoin)自動提款機
或者你可以連到www.localbitcoins.com

那對我來說太多了

 

抱歉。根據檔案加密數量,會在24小時後加倍成300美元,
72小時後變成450美元
這並非所有電腦都一樣,而是取決於加密的檔案大小

有辦法降低金額嗎?

我們可以降到125美元
這是最少的
而且只在24小時內

讓我看看是否可以讓我老闆同意

只要發送訊息,如果我們不在線上,我們會在10分鐘內回來
我們真的會解密你所有的檔案
百分之百

你付款後要傳訊息給我,讓我可以在系統上接受125美元
如果沒有,它會告訴你付款不足。
每個錢包都只對應一台電腦,所以我可以馬上驗證

 

JIGSAW(奪魂鋸)變種背後的網路犯罪分子並沒有建立自己的聊天客戶端;而是使用onWebChat,這是一個公開的聊天平台。呼叫onWebChat客戶端的腳本內嵌在網站上。對onWebchat伺服器的連線是透過SSL/TLS保護,在沒有代理伺服器攔截加密流量下要擷取和攔截封包變得很困難。趨勢科技已經聯繫onWebChat並告知他們此問題。

有意思的是,聊天室另一端的網路犯罪分子實際上並不知道使用者何時被感染。「計時器」只是根據受感染電腦上的Cookie,如果刪掉這個cookie,就會重置為24小時。所以當談到該支付多少贖金時,網路犯罪分子實際上是依靠使用者的誠信!

有些不正常的動機激勵網路犯罪分子決定用這種方式來關注在他們「客戶」(也就是受害者)。不管動機為何,這些犯罪受害者在檔案被加密時馬上有人可以接觸。如果他們成為受害者,這可能會促使他們付錢 – 雖然我們並不鼓勵

還有一點要注意的是。在找尋此次即時聊天所用的網站時,趨勢科技發現第二個惡意軟體使用相同網站。不過這一次「只是」螢幕鎖定惡意軟體,可以經由進入安全模式來繞過並移除。

圖3、JIGSAW相關的螢幕鎖定惡意軟體
圖3、奪魂鋸JIGSAW相關的螢幕鎖定惡意軟體

 

大體上的相似度(相同網站,使用「Ransom ID」,相同的贖金要求),讓我們相信兩起攻擊背後是同一個惡意分子。

這種「以客戶為中心」的做法對勒索病毒 Ransomware來說並不常見,雖然也並非完全前所未見。比方說,之前的CTB-Locker變種會免費為使用者解密一些檔案。

 

趨勢科技解決方案

趨勢科技提供企業、中小企業和家庭用戶不同的解決方案來加以防護,將受加密勒索軟體影響的風險降到最低。

企業可以經由多層次防禦,循序漸進地來最佳地解決這些威脅所帶來的風險。電子郵件和網頁閘道解決方案(如趨勢科技Deep Discovery Email InspectorInterScan Web Security)可以防止勒索軟體到達最終使用者。在端點層,趨勢科技 Smart Protection Suites具備多項功能,如行為監控,應用程式控制以及漏洞防護來最小化這類威脅的影響。有趨勢科技 Deep Discovery Inspector 會偵測並封鎖網路上的勒索軟體,趨勢科技Deep Security可以防止勒索軟體進入企業伺服器 – 不管是實體、虛擬或雲端。

對於中小企業,Worry-Free Pro透過Hosted Email Security來提供基於雲端的電子郵件閘道安全。它的端點防護也提供了多項功能如行為監控和即時網頁信譽評比技術來偵測和封鎖勒索軟體。

對於家庭用戶,趨勢科技PC-cillin雲端版提供對抗勒索軟體的強大防護,能夠封鎖威脅相關的惡意網站、電子郵件和檔案。

使用者也可以利用我們的免費工具,如趨勢科技的螢幕鎖定勒索軟體移除工具,可以用來偵測和移除螢幕鎖定勒索軟體;還有趨勢科技加密勒索軟體檔案解密工具,可以解密特定加密勒索軟體所加密的檔案而無須支付贖金或使用解密金鑰。

以下是此次攻擊相關的檔案SHA1雜湊值:

  • 71670ac6e52967b547d311df8cfb0172cbcd23c7
  • ca84c5ec27f84348be84e971c85fe52f678ca8da

 

@原文出處:JIGSAW Crypto-Ransomware Turns Customer-Centric, Uses Chat for Ransom Attempts

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數