加密勒索軟體:用比特幣贖回你的檔案!!

Cryptolocker勒索軟體 Ransomware的一個分支,具備了檔案加密的功能,在2013年10月開始出現在現實世界。它從被發現開始就不停地演變,加入了新策略和手法來避免被偵測以及說服無辜使用者支付贖金好換回自己的檔案。

bitcoin

Cryptographic Locker勒索軟體

我們最近發現一個自稱為http://blog.trendmicro.com.tw/?s=Cryptolocker的勒索軟體變種。趨勢科技將其偵測為TROJ_CRITOLOCK.A。這被稱為Cryptographic Locker的勒索軟體 Ransomware –  TROJ_CRITOLOCK.A用MSIL編譯包裝,意味著它需要.NET Framework來加以運作,這和之前的Cryptolocker不同。

TROJ_CRITOLOCK.A會加密副檔名為DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX和TXT以及其他等各種的檔案。接著會將這些加密過的檔案更名為{原始檔名和副檔名}._clf。它使用一特定版本的Rijndael對稱演算法,這跟Cryptolocker使用非對稱演算法不同。

加密勒索軟體:用比特幣贖回你的檔案!!

1、TROJ_CRITOLOCK.A在中毒系統上出現此桌布

 

根據趨勢科技的分析,一旦TROJ_CRITOLOCK.A加密中毒系統上的檔案,就會出現以下訊息來通知使用者檔案已被加密。接著它會要求使用者用比特幣Bitcoin支付贖金以取得使用者加密檔案的「私鑰」。比特幣價格來自C&C伺服器所送出包含比特幣位址的封包。在測試的時候,我們收到了0.2比特幣的勒索贖金。

加密勒索軟體:用比特幣贖回你的檔案!!

2要求使用者用比特幣支付贖金

惡意軟體還會在中毒電腦上隨機生成「金鑰」和「初始化載體」。它將這些資料送到其C&C伺服器。此外,它還會收集一些系統資訊,並連到特定網址來收發資訊,進而影響系統的安全性。它還會終止多個程序。

Cryptolocker的演變

從2014年開始,我們看到其他加密勒索軟體像是Cryptobit、CrytoDefense、CryptoWall、POSHCODER、Cryptoblocker和Cryptroni/Critoni。趨勢科技將第一個版本的Crypolocker偵測為 CRILOCK。我們最近發現的變種是批次檔勒索軟體,偵測為BAT_CRYPTOR。每個變種都有其自己獨特的主要特性或顯著的行為。

Cryptobit要求使用者使用Tor瀏覽器,使其能夠在網路中掩蓋惡意活動,達到閃躲的目的。另一方面,Cryptodefense會顯示網頁包含了如何透過Tor瀏覽器連上付款頁面的指示。

加密勒索軟體:用比特幣贖回你的檔案!!

3、Cryptodefense出現網頁指示使用者如何支付贖金

Cryptowall用筆記本程式打開勒索信,裡面包含了透過Tor瀏覽器進入付款網頁的指示。早期版本的Crytolocker有個圖形化介面來提供付款訊息。CRITONI和Cryptoblocker有圖形化界面和桌布,跟早期版本的Cryptolocker類似。

加密勒索軟體:用比特幣贖回你的檔案!!

4、CRITONI的圖形化介面

 

在五月,一個被稱為POSHCODER的勒索軟體出現,利用Windows的PowerShell功能來進行加密。網路犯罪份子和威脅作者都利用此功能來避免在目標系統和網路內被偵測。

在同一個月,我們還發現了第一個行動勒索軟體,偵測為ANDROIDOS_LOCKER.HBT,它使用了Tor瀏覽器,就跟其他加密勒索軟體變種類似。它被打造成假應用程式 – 「Sex xonix」,可以在第三方應用程式商店下載。在8月,另一個行動勒索軟體ANDROIDOS_RANSOM.HBT出現,它會停掉自身以外的所有應用程式,並且加密SD卡中的資料。

加密勒索軟體:用比特幣贖回你的檔案!!

5、Cryptolocker變種出現肆虐的時間表

 

最佳做法

看到了這些演進,我們認為勒索軟體 Ransomware仍然是使用者和組織在保護系統和設備時最需要注意的安全威脅之一。強烈建議使用者不要屈服去支付贖金,這可能會進一步鼓勵不法份子繼續他們的惡意行動。建議安裝安全解決方案以偵測這類威脅。備份檔案和重要文件也是很好的做法。

使用者另外應該要瞭解勒索軟體 Ransomware威脅的本質。有足夠的認識才可以長遠的確保資料和系統安全。

 

TROJ_CRITOLOCK.A的相關雜湊值是0f86c35697d16b2516601e9472264b87259672f2。

 

@原文出處:The Prevalence of Crypto-Ransomware作者:Alvin Bacani(研究工程師)

 

勢科技PC-cillin 2015雲端版 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載