使用拋棄式電子郵件信箱服務的 R980 勒索病毒

或許是受到犯罪集團一再得逞的鼓舞,駭客們不斷開發出新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族和變種,而且速度快得驚人,最新出現的一個家族叫作「R980」(趨勢科技命名為 RANSOM_CRYPBEE.A)。

經由垃圾郵件或已遭入侵的網站散布

就目前所知,R980 是經由垃圾郵件或已遭入侵的網站散布。就像 LockyCerberMIRCOP 一樣,挾帶此勒索病毒的垃圾郵件附檔當中暗藏著惡意巨集 (W2KM_CRYPBEE.A),會從某個網址下載 R980。從今年 7 月 26 日趨勢科技偵測到 R980 至今,已發現多次它連線至該網址。

圖 1:R980 的勒索訊息之一,這同時也會變成受害電腦的桌布。
圖 1:R980 的勒索訊息之一,這同時也會變成受害電腦的桌布。

 

圖 2:惡意文件當中暗藏的巨集,此程式碼會從 hxxp:// bookmyroom.pk/assets/timepicker/f.exe 這個網址下載勒索病毒。
圖 2:惡意文件當中暗藏的巨集,此程式碼會從 hxxp:// bookmyroom.pk/assets/timepicker/f.exe 這個網址下載勒索病毒。

可加密的檔案類型有 151 種

R980 可加密的檔案類型有 151 種,使用的是 AES-256 和 RSA 4096 演算法。儘管被加密的檔案檔名末端會加上「.crypt」副檔名,但它卻與使用相同副檔名的舊版 CryptXXX 勒索病毒沒有任何相似之處。在加密方面,R980 使用了某個加密服務供應商 (CSP) 的 Windows 軟體程式庫來執行加密。

 

圖 3:如同 Locky 及其他勒索病毒一樣,R980 採用 RSA 演算法來加密檔案,並且呼叫某加密服務供應商的程式庫函式,如:CryptAcquireContext 及 CryptGenerateRandom。
圖 3:如同 Locky 及其他勒索病毒一樣,R980 採用 RSA 演算法來加密檔案,並且呼叫某加密服務供應商的程式庫函式,如:CryptAcquireContext 及 CryptGenerateRandom。

為了長期躲藏在系統中,它會修改下列系統登錄機碼:HKCU\Software\Microsoft\Windows\CurrentVersion\Run。不過,有別於大多數的勒索病毒,它不會在感染系統之後刪除自己的檔案。此外,R980 也讓人聯想到 DMA Locker (RANSOM.MADLOCKER.B),因為它會在系統當中留下以下元件及入侵指標 (IOC):

  • rtext.txt – 勒索訊息內容
  • status.z – 入侵指標:代表勒索病毒第一次執行
  • status2.z – 入侵指標:代表執行的是植入系統中的病毒副本
  • k.z – 內含病毒從網路上下載的 base64 編碼資料
  • fnames.txt – 內含被加密檔案的名稱
  • 圖 4:R980 的某個勒索訊息當中含有詳細的指示告訴受害者如何支付 0.5 比特幣來取得解密工具 (依 2016 年 8 月 9 日的匯率,約合 294.42 美元)。
    圖 4:R980 的某個勒索訊息當中含有詳細的指示告訴受害者如何支付 0.5 比特幣來取得解密工具 (依 2016 年 8 月 9 日的匯率,約合 294.42 美元)。

 

駭客利用只有幾小時的時效就會自動刪除的拋棄式電子信箱

  圖 5:R980 與其 C&C 伺服器的通訊流量,當中可看到它從伺服器取得給個別受害者支付贖金的比特幣位址。每個受害者所收到的位址都不一樣。
圖 5:R980 與其 C&C 伺服器的通訊流量,當中可看到它從伺服器取得給個別受害者支付贖金的比特幣位址。每個受害者所收到的位址都不一樣。

R980 會和其幕後操縱 (C&C) 伺服器通訊,來針對不同受害者提供不同的比特幣位址讓他們支付贖金。為了隱藏身分,駭客還特別利用  Mailinator 電子郵件服務來建立拋棄式郵件地址,這類地址只有幾小時的時效就會自動刪除。此外,駭客也利用同一服務來為受害者建立公開的電子郵件地址,讓受害者收取其宣稱的檔案解密工具連結。

儘管 R980 很粗糙地結合了前人的各家技巧,但由於它利用了惡意巨集,並結合已遭入侵的網站為感染管道,使得它仍是一項危險的威脅。因此,建議使用者最好停用 MS Office® 軟體的巨集功能,以免不小心開啟來自不明或可疑來源的電子郵件附檔。此外,一套良好的 3-2-1 原則備份策略也能有效防範勒索病毒威脅

趨勢科技勒索病毒解決方案

要防範勒索病毒進入您的系統,您需要全方位的防護。一套多層式的防護,可在感染的每一階段攔截勒索病毒。對於像 R980 這樣的勒索病毒,趨勢科技可偵測其惡意巨集,並且在勒索病毒感染您的系統之前預先加以攔截。

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


free upgrade

如果您的PC-cillin 仍為舊版程式,建議您即刻下載最新版PC-cillin防毒軟體,以防範新型勒索病毒攻擊,保護您的電腦不會遭到駭客綁架,導致重大財損。
※適用於Windows 作業系統,且PC-cillin 序號開頭為”X”者

大型企業防護

  • 電子郵件和閘道防護

趨勢科技 Cloud App Security趨勢科技 Deep Discovery™ Email Inspector 及 InterScan™ Web Security 都能有效防範勒索病毒經由電子郵件及網站這兩個最常見的管道散布。

魚叉式網路釣魚防護

惡意程式沙盒模擬分析

IP 位址/網站信譽評等

文件漏洞攻擊偵測

  • 端點防護

趨勢科技 Smart Protection Suites 可在端點層次偵測並阻止可疑的行為,以及勒索病毒相關的漏洞攻擊。

勒索病毒行為監控

應用程式控管

漏洞防護

網站防護

  • 網路防護

趨勢科技的Deep Discovery Inspector 可偵測惡意的網路流量、通訊以及其他試圖讓勒索病毒進入網路的惡意活動。

網路流量掃瞄

惡意程式沙盒模擬分析

橫向移動防範

  • 伺服器防護

趨勢科技Deep Security 可偵測並攔截可疑的網路活動,防止伺服器和應用程式遭到漏洞攻擊。

網站伺服器防護

漏洞防護

橫向移動防範

 

中小企業家庭使用者防護

  • 中小企業防護

Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護,可偵測並攔截勒索病毒。

勒索病毒行為監控

IP 位址/網站信譽評等

  • 家庭使用者防護

趨勢科技PC-cillin雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。

IP 位址/網站信譽評等

勒索病毒防護

相關雜湊碼:

  • 252E82E52DDDEE5D2593DA23793244195DFCF368 – W2KM_CRYPBEE.A
  • 8340937BFD1546988E036FA5A5B44337EEA08466 – RANSOM_CRYPBEE.A

 

原文出處:R980 Ransomware Found Abusing Disposable Email Address Service 作者:Francis Antazo 和 Mary Yambao


 

 

 

PCC TL 20160905

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數