勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。

勒索軟體CryptoLocker

 趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。

利用趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖一、帶有惡意附件的垃圾郵件截圖

 

一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖二、CryptoLocker感染途徑

 

有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。

 

關於CryptoLocker加密的注意事項

雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。

RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。

這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。

關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖三、加密檔案列表可以在系統註冊表內看到

 

趨勢科技關於CryptoLocker的解決方案

趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。

趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為 勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖四、趨勢科技偵測相關的惡意軟體

繼續閱讀

史上最狠毒勒索軟體 Crypto Locker SHOTODOR: 一開郵件電腦就淪陷,限時3天內交付「贖金」300美元,才能重新啟動檔案

在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。

勒索軟體

Crypto Locker:最新一波的勒索軟體

 

除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware

之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。

但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。

勒索軟體

如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。

如何保持低調SHOTODOR

另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀

網路危機~最新勒索軟體肆虐臺灣,受駭者需要支付 $300 美金「贖款」才能將檔案解密

最近有許多使用者感染新的勒贖軟體病毒,遭到該病毒感染後,作業系統中有多種檔案會被加密,遭到感染的使用者需要支付$300美金或歐元「贖款」獲取金鑰才能將檔案解密。受害者會看到以下視窗:
勒索軟體肆虐臺灣

甚至連桌面也會被鎖定而造成無法使用電腦(如下圖)

勒索軟體肆虐臺灣

 散播管道:

此勒贖軟體可能通過聊天工具、電子郵件、惡意網站散播,或由其他病毒釋放而來。

病毒行為:

1.    將自己複製後置放到下列目錄下:
%Application Data%\{隨機字母的檔案名稱}.exe
(注意: %Application Data% 是目前用戶的Application Data資料夾,在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data,在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。

2.     避免自己重複執行。

3.     會在機碼中添加自動啟動項目。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = “%Application Data%\{隨機檔案名稱}.exe”。

4.     會新增以下登錄值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files

 Ransome3

其中子目錄「Files」中列出的是已被加密的檔案列表

 

5.    該病毒會連接以下網域以獲取加密的金鑰:

gktibioivpqbot.net
mlernipmrlrnjj.com
lnjaadfliwshke.info
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz

這些網域中任意個可連接的網址最終會指向IP位址 93.189.44.187 的伺服器。。

6.     在獲取加密金鑰後以下類型檔案將被加密:
*.3fr  *.accdb  *.arw  *.bay  *.cdr  *.cer  *.cr2  *.crt  *.crw  *.dbf  *.dcr  *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf  *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm  *.xlsx

7. 勒索者接受以下付款方式:

Bitcoin
cashU
MoneyPak
Ukash

防護措施:

1.     從閘道處阻止連接惡意網址(上述第五項中之網域及IP);
2.     保持防毒軟體病毒碼更新至最新;
3.     請勿隨意點閱來源不明的郵件附件;
4.     請勿隨意接收並執行聊天工具中發送的檔案(包括圖片檔或office檔案);
5.     請勿隨意瀏覽未知的國外網站,尤其是情色網站或多媒體下載網站;
6.     請定期備份重要檔案。 繼續閱讀

假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)

刑事局接獲報案得知,新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料。

編按:其實這些畫面可能是螢幕保護程式,請參考:當機又重開機!原來是流氓軟體利用螢幕保護程式製造恐慌)

Fake AV

本案例「好心」地跳出防毒軟體的購買頁面名為「Privacy Protection」假防毒軟體,還區分一年及三年的不同版本。王女不疑有他線上刷卡購買兩千元後,隨即收到電子郵件傳來一個壓縮檔案,包含金鑰密碼;但她解除壓縮執行軟體,電腦卻毫無動靜,不僅不能解毒,電腦還中毒,發現是騙局一場後,氣得向警方報案。

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台,請參考假防毒軟體從電腦移植到了 Android 平台

Virus Shield 於2014年 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據趨勢科技的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。

趨勢科技對這款 App 程式做了進一步的分析來了解其運作。根據分析顯示,該程式會在畫面上顯示一個打叉 (X) 的圖案,當使用者點一下之後就會變成打勾 (V) 圖案 。該程式在應用程式商店的說明當中運用了一些聰明的社交工程技巧,讓人以為它是一個合法的應用程式,因而才會購買及下載。其中一項就是它獲得了 4.7 顆星的驚人評價與 Google+ 社群的 2,500 次推薦。該程式後來被 Google Play 下架,但仍在網路上流通,而且歹徒很可能會在其他網路商店上架,或者透過直接下載的方式販售 (這是美國以外地區最流行的攻擊手法)。

這類 App 程式突顯了趨勢科技「行動裝置應用程式信譽評等服務」一項全新功能對保護客戶安全的重要性。除了原有的靜態分析之外,行動裝置應用程式信譽評等服務現在更利用一套先進的動態分析環境來發現諸如此類的假應用程式。

⭕️全文:全球下載破萬次的資安付費App 竟毫無功能?!付費防毒程式「Virus Shield」假防毒軟體,已遭Google Play下架 ,用戶切勿上當

其實假防毒軟體在國外已經散播好多年了,以下文章介紹各種假防毒軟體詐騙手法


什麼是假防毒軟體 Fake AV(案例:假Facebook 密碼更新通知信,內有”假掃瞄,真騙錢”木馬)




「我都用免費的防毒軟體!」但你怎麼知道你那些正在掃毒的畫面是 flash 做的假頁面?Google曾經提出的報告,網路上的惡意程式中,有15%是假的防毒軟體所造成的,而這些假防毒軟體已經進化到集團操作,可以欺騙搜尋引擎的網站排名機制,用作弊的方式讓刻意製作好的假防毒軟體的網站搜尋排序在前面,塑造高下載率的假象。

橫跨 6個國家破百萬名的消費者購買假防毒軟體


有個新聞說美國聯邦法院以高達1.63億美元的重罰判決一名販售假防毒軟體的女性,該女子透過社交工程陷阱( Social Engineering),欺騙使用者讓他們以為自己的電腦潛藏病毒或其他惡意軟體,接著推銷一經付費便可立即下載使用的假防毒軟體。該集團誘騙橫跨 6個國家破百萬名的消費者購買假防毒軟體。相關報導:FTC slaps scareware distributor with $163 million fine

最早的假防毒軟體利用恐嚇軟體手法(scareware tactics)憑藉的是讓使用者信以為真的感染警告。不過這個手法的威脅情勢已轉化為營利為主,促使網路犯罪份子運用更多的迂迴狡詐的技術。

以下以 facebook 密碼詐騙信為案例

假Facebook 密碼更新通知信,內有”假掃瞄,真騙錢”木馬


一封來自 The Facebook Team 的信件,以標題“Facebook Password Reset Confirmation,”( Facebook 密碼確認) 大量散播,該信件內容說明因為安全起見收件者的facebook 密碼已經更新,新的密碼在附件中。經趨勢科技測試發現裡頭有一隻木馬TROJ_BREDLAB.SMF ,一經執行會連線到某個網站下載假防毒軟體TROJ_FAKEAV.BLV,藉以進行”假掃瞄,真騙錢”詐騙,受害者不只會被騙錢買沒有掃瞄能力的完整版防毒軟體,還會被偷信用卡帳號資訊。

假的Facebook 密碼通知信 

新的Facebook 密碼附件其實含有木馬 

一旦執行會出現電腦已遭感染訊息  

假防毒軟體會引導受害者進一步買完整版防毒軟體,還有維妙維肖的得獎保證

現在最常用的是Black_Hat SEO 搜尋引擎毒化尋引擎毒化的手法,模仿即時防毒軟體產品掃瞄電腦的畫面,讓使用者只要進入某些特定網站就會遭感染。

進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。

感染後會如何?


1.要脅付費購買才能清除毒窟

這個會自動在您電腦開機時幫你掃毒的假好心軟體,在你被看起來很逼真的掃瞄頁面嚇到後,然後會告訴你共抓到有多少隻病毒, 如果你想要徹底清除病毒,請輸入信用卡資料付費。所以也有人把這些假防毒真詐財的軟體成為恐嚇軟體。


2.假線上掃毒 騙個資

以Flash動畫做出正在掃描的視窗頁面,引誘受害者去點選相關的設定,其實是下載病毒,這些假的線上掃毒服務,聲稱要登錄 Email 才能使用,他們也可能冒用其他廠商的免費線上掃毒服務,賺黑心錢。


3.難以解除安裝,無法執行 Windows 更新

一旦感染到假防毒軟體,就難以解除安裝。甚至無法再執行Windows更新,或安裝某些防毒軟體。

繼續閱讀

四個舊瓶裝新酒的惡意攻擊

作者:Gelo Abendan

趨勢科技對今年的資安預測裡,我們的技術長Raimund Gene曾經預測過傳統的惡意軟體會逐漸地進化,而非產生新威脅。惡意軟體作者將更著重於改善工具,以及如何去組織攻擊。

特別是我們將會看到他們發展某些隱形戰術來避免被資安研究人員或廠商所發現。一個很好的例子就是黑洞漏洞攻擊包(BHEK)2.0版本的釋出,這是對我們之前成功地封鎖黑洞漏洞攻擊包的反擊。

在過去幾天裡,趨勢科技注意到下列一連串的事件,舊惡意軟體變種用著某些威脅手法來企圖防止被偵測。

  1. 啟動睡眠功能避免被偵測的惡意軟體:
    某些版本的Kelihos(偵測為BKDR_KELIHOS.NAP)最近開始出現。有報告指出這個Kelihos變種會啟用SleepEx功能。利用這種睡眠功能,惡意軟體會在特定時間內呈現非活動狀態,這可以避免被自動偵測捕捉到它的惡意行為。Kelihos和額外的睡眠功能都不是新的威脅手法,但是當它們組合在一起就成為使用者應該小心的潛在威脅。
  2. 木馬使用Adobe簽章的憑證警察勒索軟體使用假數位簽章:
    一個被偵測為TROJ_BANKER.JBR銀行惡意軟體被發現帶有DigiCert所發行的有效數位簽章。這個帶有上述數位簽章的惡意軟體偽裝成PDF檔案,可能是要誘騙使用者去誤認為這是個正常檔案的社交工程陷阱( Social Engineering)伎倆。在一般情況下,數位簽證可以保證程式和檔案的正當性。因此當使用者碰到這種簽章過的惡意軟體,就有可能會加以執行。不幸的是,數位簽章被濫用是之前就已經報導過的。惡名昭彰的StuxnetFLAME等攻擊就被回報過使用一樣的伎倆。就在去年,趨勢科技也報導過有木馬使用Adobe簽章的憑證警察勒索軟體 Ransomware使用假數位簽章。
    繼續閱讀