勒索軟體:限期透過比特幣支付贖金,否則被綁檔案將永久加密

最近一次打擊網路犯罪的勝利是中斷了GAMEOVER ZeuS殭屍網路活動。其中最明顯的或許是讓另一重大威脅也受到影響 – 惡名遠播的CryptoLocker惡意軟體

hacker 偷錢

然而,這次中斷並沒有阻止使用檔案加密勒索軟體 Ransomware的網路犯罪分子。事實上,趨勢科技看到使用新加密和迴避方法的新加密勒索軟體 Ransomware變種出現。

Cryptoblocker和它的加密技術

跟其他勒索軟體 Ransomware變種一樣,這被偵測為TROJ_CRYPTFILE.SM的Cryptoblocker惡意軟體會加密一定數量的檔案。不過這變種有一定的限制。首先,它不會感染大於100MB大小的檔案。此外,它也會跳過資料夾C:\\WINDOWS,C:\\PROGRAM FILESC:\PROGRAM FILES (X86)內的檔案。

不像其勒索軟體 Ransomware變種,Cryptoblocker不會產生任何文字檔來指示受害者如何解密檔案。相對地,它會顯示下面的對話框。輸入交易ID到文字框內會產生一個訊息,說明「交易已被發送,很快就會得到驗證。」

圖1、對話框

另一個分別是它的加密方式。該惡意軟體不使用CryptoAPIs,這其他勒索軟體 Ransomware明顯不同。CryptoAPIs是用來製造RSA金鑰,這個惡意軟體並沒有使用它。這一點很有趣,因為RSA金鑰會讓解密檔案更加困難。相對地,我們在這惡意軟體程式碼中發現進階加密標準(AES)。

仔細一看還發現,解開程式碼時還會發現編譯註解。這相當有趣,因為編譯註解通常會被刪除。因為這些資料可以被安全研究人員用來偵測(進而封鎖)來自該惡意軟體作者的檔案。出現編譯註解也表示Cryptoblocker背後的壞傢伙可能是勒索軟體的新手。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料,美國是受影響最大的國家,其次是法國和日本。加上西班牙和義大利就是前五名受影響的國家。

圖2、受Cryptoblocker影響的國家

 

Critroni以及Tor的使用

Tor網路已經因為其與網路犯罪的關聯而獲得許多的關注。網路犯罪分子利用該網路來掩蓋自己的惡意活動和閃躲執法單位。

最近,趨勢科技最近偵測到TROJ_CRYPCTB.A的變種(又被稱為Critroni或Curve-Tor-Bitcoin (CTB) Locker),會使用Tor來掩蓋其指揮和控制(C&C)通訊。在加密中毒電腦的檔案後,惡意軟體會將電腦桌布換成下面的圖片:

圖3、所顯示的桌布

它還顯示了贖金訊息。使用者必須在期限前透過比特幣支付贖金。否則所有檔案將永久保持加密狀態。

圖4、贖金訊息

根據資深威脅研究員Jamz Yaneza表示,此惡意軟體採用橢圓曲線密碼系統(ECC)而非RSA或AES。提供一點背景資訊,比特幣生態系統也是用橢圓曲線密碼系統,就是橢圓曲線數位簽章演算法(ECDSA)。

這並非我們第一次看到勒索軟體利用Tor網路所提供的匿名功能。在2013年的最後幾個星期,被稱為Cryptorbit的勒索軟體變種要求受害者透過Tor瀏覽器(一種為Tor預先設定好的瀏覽器)來支付贖金。我們還碰到使用Tor在C&C通訊上的Android勒索軟體

 

BAT_CRYPTOR.A使用合法應用程式

在六月,我們報導過一個勒索軟體 Ransomware變種 – POSHCODER會利用Windows PowerShell功能來加密檔案。最近,我們發現另一個勒索軟體也像POSHCODER一樣會使用合法應用程式進行加密的動作。

這個被偵測為BAT_CRYPTOR.A的變種使用GNU Privacy Guard應用程式來加密檔案。然而,根據我們的分析,即使系統不具備GnuPG,這惡意軟體仍然會執行加密行為。作為其感染行為的一部分,該惡意軟體會植入GnuPG副本以用來加密。這個動作被寫在批次處理檔中。

這惡意軟體會刪除%appdata%/gnupg/*,這是所生成金鑰儲存的目錄。它接著會用genkey.like生成新金鑰。會生成兩把金鑰,一把公鑰(pubring.gpg),另一把是私鑰(secring.gpg)。

公鑰pubring.gpg會被用來加密系統上的檔案。可以解密檔案的私鑰留在受影響系統上。然而,該金鑰也被加密(使用金鑰secrypt.like),讓解密變困難。新加密過的私鑰會被重新命名為KEY.PRIVATE

BAT_CRYPTOR.A重新命名加密過的檔案為{檔案名稱和副檔名}

.paycrypt@gmail_com。在勒索信中,使用者被要求聯絡一電子郵件地址以取得檔案解密細節。

 

小心的重要性

這些勒索軟體 Ransomware變種證明,儘管犯罪活動被嚴重的打擊過,網路犯罪分子仍將繼續想法子危害使用者。使用者在處理不熟悉的檔案、電子郵件或網址連結時都要特別小心。雖然會有衝動去為被加密的檔案支付贖金,但也不能保證網路犯罪分子會解密這些檔案。使用者可以閱讀這篇文章來瞭解其他安全措施 – 處理CryptoLocker

此次攻擊相關的檔案雜湊值是:

  • 5315a8be36750b62e87a4f24fc66d39eba2e92b5
  • 2f0a828d187a1d4d0761f3a2d60b8540012a54af
  • c9cbf586a4ed4204ca930307c456034ebfac3f83

 

@原文出處:New Crypto-Ransomware Emerge in the Wild作者:Eduardo Altares II(研究工程師)