趨勢科技協助FBI(美國聯邦調查局),將惡名昭彰 SpyEye 銀行木馬駭客繩之於法

前幾日美國司法部宣布惡名昭彰的SpyEye銀行惡意軟體作者 – Aleksandr Andreevich Panin(又名Gribodemon或Harderman)已經為製造和散佈SpyEye而認罪。趨勢科技在這次的調查中扮演關鍵角色,和美國聯邦調查局合作這個案子很長一段時間。各團體都花費相當大的力氣來讓此次調查活動可以圓滿結束。

hacker 偷錢

我們的調

Panin的共犯之一是Hamza Bendelladj,,他的暱稱是bx1。Panin和Bendelladj都參與建立和設置各SpyEye網域和伺服器,這也是趨勢科技獲得這對犯罪伙伴資訊的來源。雖然SpyEye的建立僅僅有很少的文件公開,我們還是仍然能夠拿到這些文件並取得文件中的資訊,其中包括(比方說)伺服器控制者的電子郵件地址。

我們將這些設定檔所取得資料和我們在其他地方所收集到的資料進行關聯。例如我們潛入各個已知Panin和Bendelladj會訪問的地下論壇。只要閱讀他們所貼出來的文章,他們會在不經意間透露像電子郵件地址、ICQ號碼或Jabber號碼等資訊,這些都是可能揭露他們真實身份的資料。

例如,我們發現了C&C伺服器lloydstsb.bz也和SpyEye程式和設定檔有關。解密過的設定檔包含了代碼bx1。該伺服器上的設定檔也包含了電子郵件地址。第二個設定檔(也用了bx1)被發現含有virtest的登錄憑證 ,這是網路犯罪份子所使用的偵測測試服務。所有的資料都被趨勢科技用來幫助美國聯邦調查局找出他的真實身份。

圖一、設定檔

接下來在地下論壇的貼文顯示Bendelladj和SpyEye的關連比他所公開宣稱的還要更深入:

圖二、地下論壇貼文

下圖顯示出各種不同網站、電子郵件地址和Bendelladj所使用惡意軟體間的關聯:

圖三、此圖顯示各網站、電子郵件地址和惡意軟體間的關係

繼續閱讀

CrytoLocker 勒索軟體的增長和黑洞漏洞攻擊包作者被逮有關

過去幾週裡,我們看到了勒索軟體CryptoLocker對許多使用者來說成為了一個重大的威脅。我們對於這威脅的監測已經揭露出它是如何散播,特別是它和垃圾郵件與ZeuS的關連。然而,這威脅出現的背後看來有比一開始所發現還要多的故事。

hacker 偷錢

我們發現一個它如此增長的可能因素:黑洞漏洞攻擊包作者Paunch被逮捕。Paunch被逮捕導致使用這漏洞攻擊包的垃圾郵件攻擊活動大量地減少。明顯地,這樣會造成垃圾郵件發送的中空期,但垃圾郵件發送者不會突然就停止發送垃圾郵件。因此,他們需要一些替代品,那會是什麼?

其中一個替代品就是UPATRE。我們發現主要發送黑洞漏洞垃圾郵件的Cutwail 殭屍網路開始在十月左右夾帶UPATRE(最終會導致CryptoLocker),也就是Paunch被逮捕的當月。事實上,我們已經監測到多個IP地址和這轉移有關連 – 在作者被逮前寄送黑洞漏洞垃圾郵件,被逮後發送 CryptoLocker垃圾郵件。 繼續閱讀

勒索軟體CryptoLocker,攻擊個案翻兩倍

過去的幾個星期以來,我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比,十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現,包括北美、歐洲、中東和亞太地區。在之前,我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅(勒索軟體)的進化。這樣的「改進」是趨勢科技2013年安全預測裡所提過的,網路犯罪分子會將重點放在改進現有的工具,而非創造全新的威脅。

勒索軟體CryptoLocker

我能做些什麼?

 

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE(下載器),它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌,以及使用者如何去回應它。

 

讓我們從簡單的電腦安全實作開始(往往也最常被忽視)。想想看,當開啟帶有附件的郵件時,一般都要:

 

  • 確認電子郵件的寄件者身分。
    如果電子郵件號稱來自銀行,請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人,確認他們是否有寄過這郵件。不要僅僅依賴於信任關係,因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
  • 仔細檢查郵件內容是否有與事實不符的地方。
    注意是否有明顯錯誤或和事實不符的地方:來自銀行或朋友的郵件聲稱他們有收到你的東西?試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
  • 避免點入電子郵件中的連結。
    在一般情況下,避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結,確保你的瀏覽器透過網頁信譽評比技術檢查過該連結,或使用像趨勢科技Site Safety Center的免費服務。
  • 確保你的軟體都在最新狀態。
    目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播,但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
  • 備份重要資料。
    不幸的是,沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是,確保你有正確的備份檔案。應該要做到3-2-1原則:三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製(Volume Shadow Copy),可以讓你將檔案回復到之前的狀態,它是預設開啟的。雲端儲存服務(如SafeSync)也可以做為你備份策略內有效的一部分。

對於企業客戶,檢討有關電子郵件附件的相關政策。通過電子郵件發送可執行檔通常被認為是不好的行為。大多數組織也有嚴格的附件封鎖政策 – 如果你還沒有,現在是個很好的時機來考慮建立一個。

將設備設定為特定用途也是另一種減少感染Cryptolocker機會的作法。例如,如果使用者只需要使用Microsoft Word,那麼系統上具備有限權限的使用者帳號也就足夠。大多數企業可能已經有這樣的做法,但還可以用軟體白名單來加強,並且配合使用Windows的某些功能,像是AppLocker

為了補強組織的整體安全策略。使用者所需要的安全解決方案不僅是保護用戶於執行惡意檔案,還可以在惡意軟體到達你的系統前提供保護。

趨勢科技的電子郵件信譽評比服務可以阻止這些包含惡意附件的垃圾郵件。具體地說,真實檔案類型過濾功能可以在電子郵件附件有可能是惡意時提醒使用者:

勒索軟體 CryptoLocker

此外,趨勢科技的網頁信譽評比服務也會封鎖所有相關網址。安全解決方案的組合再加上確認允許執行的應用程式列表,讓電腦被攻擊的表面積大為減少。

結論

雖然沒有具備任何新的做法,CryptoLocker已經將之前勒索軟體 Ransomware假防毒軟體所用的恐嚇戰術有效地運用到新的境界。今日大多數使用者都依賴於良好的防毒軟體,但重要的是要注意,使用者教育、定期軟體更新、嚴格的電腦使用政策都是在防禦CryptoLocker和類似威脅上至關重要的。

由於現在的網路犯罪分子都會加強惡意軟體,電腦系統也必須同樣地加以強化以防禦這些攻擊。解決惡意軟體感染的全面性作法不僅是要降低感染率,還要提供深入的防禦戰略來涵蓋多層面的攻擊,以幫助打破惡意軟體感染鏈的整個週期。

使用OfficeScan(OSCE)和Worry-Free Business Security/Service(WFBS/WFBS-SVC)的趨勢科技用戶可以遵循這些最佳實作以防止勒索軟體感染

 

@原文出處:Defending Against CryptoLocker作者:Jay Yaneza(技術支援)

 

◎延伸閱讀

史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

 

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。

勒索軟體CryptoLocker

 趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。

利用趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖一、帶有惡意附件的垃圾郵件截圖

 

一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖二、CryptoLocker感染途徑

 

有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。

 

關於CryptoLocker加密的注意事項

雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。

RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。

這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。

關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖三、加密檔案列表可以在系統註冊表內看到

 

趨勢科技關於CryptoLocker的解決方案

趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。

趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為 勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖四、趨勢科技偵測相關的惡意軟體

繼續閱讀

史上最狠毒勒索軟體 Crypto Locker SHOTODOR: 一開郵件電腦就淪陷,限時3天內交付「贖金」300美元,才能重新啟動檔案

在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。

勒索軟體

Crypto Locker:最新一波的勒索軟體

 

除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware

之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。

但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。

勒索軟體

如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。

如何保持低調SHOTODOR

另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀