偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊

勒索HACKER

加密勒索軟體 Ransomware又再一次進化。最近我們發現了一個首次結合間諜程式的加密勒索軟體 Ransomware變種。而且,不久前趨勢科技才發現有內含檔案感染能力的勒索程式

CryptoWall 3.0

我們首次發現 CryptoWall 是在去年,當時它是挾帶在垃圾郵件訊息當中趨勢科技當時發現,其他的加密勒贖程式都提供了一個圖形使用者畫面來勒索贖金,但 CryptoWall 卻是透過其他管道,包括透過一個 Tor 洋蔥路由器網站直接要求贖金,或是用記事本程式開啟一個勒索通知文件,詳細說明如何利用 Tor 瀏覽器連上支付贖金的網頁。

不過,自從 CryptoWall 首次被發現以來,該程式已發生很多變化。早期的 CryptoWall 版本會偽裝為 CryptoLocker 變種,甚至模仿其勒贖畫面。但後來,CryptoWall 慢慢開始有自己的名稱以及勒贖畫面。

此外,其幕後操縱伺服器通訊也開始改用 Tor 洋蔥路由器網路。最新的版本,也就是一般稱呼的 CryptoWall 3.0,則開始將網址寫死在程式內。不諱言地,使用 Tor 確實能夠提供匿名的優勢,但缺點是,企業系統管理員可以輕易封鎖 Tor 的網路流量,可以的話甚至直接封鎖 Tor 應用程式。

這些寫死的網址都經過了層層加密,因此威脅研究人員無法輕易解開。由於企業封鎖網址的作法是屬於因應的手段,因此在遭到封鎖之前,歹徒還有一點空窗期可利用。在這個空窗期,惡意程式就能與幕後操縱伺服器完成通訊,並且取得未來將檔案加密所需的 RSA 公開金鑰。

請注意,其幕後操縱伺服器與付款網頁是分開的。惡意程式仍然會利用 Tor 來連上支付贖金的網頁,這樣一來,就算伺服器遭到執法單位破獲,贖金的交易依然不受影響。

不僅如此,或許是為了「預先防範」,CryptoWall 3.0 還會刪除系統的備份複本,以防止使用者將系統還原至感染前的狀態,這樣受害者除了支付贖金之外,要救回檔案就別無他法。

偽裝履歷表壓縮檔,使用 JavaScript 和 JPEG 圖片副檔名

CryptoWall 3.0 會透過垃圾郵件散布,挾帶一個 JavaScript 附件檔案。下圖顯示該附件檔案會偽裝成一份履歷表壓縮檔,此附件解開之後會出現一個 .JS 檔案 (也就是我們偵測到的 JS_DLOADR.JBNZ、JS_DLOAD.CRYP 及 JS_DLOADE.XXPU),這一點不太尋常,因為履歷表文件通常是以 .DOC、.PDF 和 .RTF 為副檔名。

圖 1:垃圾郵件範例。

歹徒選擇使用 .JS 檔案或許是為了躲避偵測,因為其檔案很小,某些檔案掃瞄軟體很可能會因而加以忽略,而且其內容還經過特殊編碼。


圖 2:特殊編碼的內容 (僅擷取片段)。

在進一步分析這個 .JS 檔案之後我們發現,惡意程式會連上兩個網址以下載兩個 .JPG 檔案。但可別被這副檔名給騙了,惡意程式偽裝成影像檔案只是為了欺騙某些設計不良的入侵偵測系統 (IDS) 而已。從下圖的對照我們就能看出,其實下載到的是執行檔。


圖 3:偽裝成影像檔的下載檔案含有「MZ」和「PE」等執行檔特有的標記。

檔案成功下載之後,JS 檔案就會執行這兩個檔案:one.jpgtwo.jpg,分別為我們所偵測到的 TROJ_CRYPWAL.YOI 和 TSPY_FAREIT.YOI 惡意程式。

檔案加密

TROJ_CRYPWAL.YOI 會產生一個新的 explorer.exe 處理程序 (也就是假冒 Windows 檔案總管),此外,若使用者具有系統管理員身分 (一般的安裝皆是如此),該程式就會取得本機系統管理員權限。偽裝成 explorer.exe 這類系統處理程序,可讓惡意程式躲避一些利用「白名單」的安全機制。接著該程式會執行一份新的 svchost.exe 處理程序,並以「-k netsvcs 」為參數,該處理程序會負責幕後操縱通訊及檔案加密。而惡意程式也因此獲的系統服務的權限。


圖 4:修改系統。

此外,如圖 4 所示,惡意程式會利用「vssadmin.exe Delete Shadows /All /Quiet」這道指令來刪除系統備份。這讓受害者無法利用系統還原來救回被加密的檔案。

在從幕後操縱伺服器收到 RSA 檔案加密公開金鑰之後 (私密金鑰則儲存在幕後操縱伺服器上),惡意程式就會開始將某些副檔名的檔案加密,包括:文件、資料庫、電子郵件、影像、音訊、視訊以及程式原始碼。

檔案經過 RSA-2048 演算法加密之後,原本的檔名末端會多出一個隨機產生的副檔名,此外,資料夾中也會出現一些「HELP_DECRYPT」(求救解密) 檔案。在所有檔案加密完成之後,惡意程式會開啟「HELP_DECRYPT」檔案以顯示受害者看到的勒贖訊息。


圖 5:勒贖訊息範例。

FAREIT 資訊竊盜

除了執行 TROJ_CRYPWAL.YOI 之外,惡意程式還會執行 TSPY_FAREIT.YOI 這個間諜程式。此程式會在受害者疲於應付 CryptoWall 的惡行之際,暗中竊取 FTP 用戶端程式、網站瀏覽器、電子郵件用戶端程式等等所儲存在系統上的帳號密碼,甚至還會竊取比特幣 (Bitcoin) 錢包。

正如前面提到,這是我們第一次看到加密勒贖程式和間諜程式聯合出擊,表示網路犯罪集團野心已越來越大,他們再也不能滿足於贖金收入 (約 500 美元左右),而且期限一到還會加倍。
圖 6:贖金加倍畫面。

做好最壞打算

網路犯罪集團在加密勒贖行動當中加入 FAREIT 間諜程式可能的原因很多。或許受害者都拒絕付款,也或許受害者越來越懂得保護自己的檔案。但不論原因為何,歹徒已開始導入「舊的商業模式」作為備用手段。就算受害者拒絕支付贖金,歹徒還是可以藉由竊取比特幣錢包以及販賣竊取的資訊來賺錢。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的數據,感染 CryptoWall 3.0 最嚴重的地區為澳洲及紐西蘭,其次是北美和歐洲。


圖 7:感染 CryptoWall 3.0 最嚴重的地區。

使用者可藉由定期備份檔案來保護其重要資料,最好遵照 3-2-1 原則來備份。當然,對加密

勒索軟體 Ransomware 和間諜軟體這類威脅來說,我們也建議再搭配其他的安全措施。例如,千萬不要開啟不明寄件者送來的附件檔案。事實上,這類郵件應該直接忽略或刪除。最後,投資一套防護軟體來防止裝置遭到最新的威脅也是不錯的主意。

相關檔案雜湊值:

  • 0e70b9ff379a4b2ea902d9ef68fac9081ad265e8
  • c39125e297f133ddfe75230f9d2c7dc07cc170b3
  • 6094049baeac8687eed01fc8e8e8e89af8c4f24a
  • a3a49a354af114f54e69c07b88a2880237b134fb
  • 0C615B3DB645215DEC2D9B8A3C964341F777BC78

原文出處:https://blog.trendmicro.com/trendlabs-security-intelligence/cryptowall-3-0-ransomware-partners-with-fareit-spyware/?linkId=13032987

作者:Anthony Joe Melgarejo (威脅回應工程師)

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎ 歡迎加入趨勢科技社群網站