近期勒索病毒:更難偵測的手法與躲避技巧
勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。
最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。
系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。
French Locker在螢幕上顯示10 分鐘的倒數計時器,時間一到就刪除一個檔案
French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。
