趨勢科技注意到 最近有大量的加密勒索軟體在澳洲擴散。這一波與我們在12月初報導過在歐洲/中東/非洲(EMEA)地區所出現的大量感染很類似。根據進一步的研究和分析,我們的結論是這些攻擊的幕後黑手很可能是同一個集團,因為所用的IP地址很相似。
感染途徑
趨勢科技的分析顯示,用來識別澳洲TorrentLocker惡意軟體家族的特徵碼也可以識別土耳其、 義大利和法國的病毒暴發。
我們觀察到TorrentLocker惡意軟體會對澳洲和EMEA地區國家特別設定,對這些國家展示相似的付款頁面。如果使用者不是位在被針對的國家,就會出現通用的英文網頁,並且用美元要求贖金。下面是一連串TorrentLocker惡意軟體所顯示的畫面,而且會不正確地告訴受害者它是「CryptoLocker病毒」。
圖1、根據地理位置出現不同的付款要求頁面。
在澳洲,基本價格是598澳幣,並且會有警告訊息告訴使用者在給出比特幣(Bitcoin)位址的四天後贖金會增加一倍。
TorrentLocker網站在各個國家所用的詐騙性網域相關的IP地址例子包括31.41.218.229 – 放置澳洲郵政和土耳其 TTNET的相關釣魚網頁,193.124.16.16 – 放置SDA Express相關的TorrentLocker網域。
在詐騙性網站中找到相似之處
趨勢科技主動式雲端截毒服務 Smart Protection Network的資料顯示出最常被偽冒的網站及其在EMEA地區與澳洲的感染狀況。這些網站通常跟郵政服務(如澳洲郵政) 和政府機構有關(像 https://www.osr.nsw.gov.au/,新南威爾士州財收單位的官方網站)。其他的研究指出在澳洲常被假冒的網域包括auspost.com.au/和nsw.gov.au。在土耳其,最常被假冒的網域是 ttnet.com.tr(屬於一家土耳其網路供應商的合法網站),而在西班牙最常被冒用的是https://online.correos.es/(西班牙郵政的網站)。
根據這些資料,趨勢科技搜尋了跟這些網域相關的字串,發現在 2014年的10月到12月間,這些詐騙網站平均每天都會被訪問近千次。而在我們調查會訪問這些詐騙性網域的國家中,榜首是澳洲,其相關詐騙網域auspost.com.au/與nsw.gov.au佔了75%。第三名是跟義大利快遞服務https://www.sda.it/相關的詐騙性網域。而與網路供應商www.ttnet.com.tr相關的詐騙性網域是第四名。
下面是趨勢科技所監測詐騙性網域的分佈:
圖2、被封鎖的詐騙性網域
這顯示出同一個集團可能活躍在不同的國家,意味著我們可能看到的是一個大規模的全球性威脅。
對加密勒索軟體攻擊保持警覺
隨著加密勒索軟體 Ransomware在澳洲和各地區擴散,我們上述的調查結果讓我們有理由相信這些攻擊背後代表的是全球性的趨勢,可能很快就會影響到更大範圍的受害者。對於使用者來說,當然要對這些攻擊保持警覺。不要理會關於「勒贖」的虛假資訊,隨時瞭解最新的網路犯罪行為伎倆和技術。
一些相關檔案的雜湊值:
- bee66ab8460ad41ba0589c4f46672c0f8c8419f8
- 3c0caa993cb946ce15ca4b965fe272603b54958d