TeslaCrypt告別勒索病毒 Ransomware (勒索軟體/綁架病毒)圈已經在網路犯罪世界掀起了波瀾。壞蛋們紛紛加入,希望在TeslaCrypt所留下的空缺裡分一杯羹。而和這起事件相呼應的是,眾多消息指出勒索軟體界新強者的出現:CryptXXX。
CryptXXX(偵測為RANSOM_WALTRIX.C)一直都有在進行更新;其中一次是在讓受害者可以不用付贖金的免費解密工具出現之後。它不僅會加密檔案,最新的CryptXXX變種還會鎖住螢幕,讓使用者無法進入桌面。
抵達媒介
CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。
圖1、利用Angler漏洞攻擊套件的CryptXXX感染媒介
一旦使用者瀏覽了受入侵網站或是惡意廣告,就會被BEDEP惡意軟體變種植入CryptXXX。一旦它進入系統,它會先檢查自己是否執行在虛擬環境。如果偵測到,就會將自己停掉。
讓CryptXXX很難被阻止的原因是它還會執行一個看門狗(watchdog)程式。CryptXXX會同時進行兩個動作;一個是加密,另外一個是偵測異常的系統行為。當看門狗(watchdog)偵測到異常系統行為就會停止加密程序,再重新啟動加密程序。這會導致將惡意軟體停止,而看門狗(watchdog)會重新啟動惡意軟體的一個循環。
圖2、CryptXXX同時執行的兩個svchost.exe程序
CryptXXX會加密具備以下副檔名的檔案:
| .3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX |
它也會鎖住螢幕來防止使用者執行任何工具。如前面所提,這似乎是因為之前版本出現解密工具的應對措施。使用者還是可以透過勒贖通知內所提供的連結來連上付費網站。
圖3、CryptXXX勒贖通知
CryptXXX的另一個特色是贖金加倍前的等待期很長。其他勒索軟體家族會在短短24小時之後就將贖金翻倍,CryptXXX在加倍前會給使用者超過90個小時來付贖金。不像其他勒索軟體家族(如JIGSAW)會急於要使用者付款,CryptXXX提供使用者充足的時間去付贖金。
圖4、付費連結顯示在贖金加倍前有超過90個小時來支付500美元
有著更新的程式及親和的勒贖作法,會有更多網路犯罪分子湧向CryptXXX。趨勢科技預計作者下一次的更新會讓沒有準備好適當勒索軟體解決方案的使用者都深陷噩夢之中。
停止勒索軟體
Angler漏洞攻擊套件或許是最惡名昭彰的漏洞攻擊套件,讓數以百計的網站成為受害者,也帶來數不清的惡意廣告攻擊。使用者應該要定期修補或更新程式,軟體和應用程式到最新狀態,以保護自己免於漏洞攻擊。使用者也應該要遵循3-2-1法規來備份檔案;建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方。
因為勒索軟體也會經由垃圾郵件內所夾帶的附件檔案或連結出現,使用者應該要避免打開未經確認的電子郵件或點入內嵌的連結。
趨勢科技要對勒索軟體說不。我們強烈建議使用者不要去支付贖金,因為它會變相的資助犯罪,並促進勒索軟體進一步的散播。雖然沒有萬靈丹可以解決勒索軟體(如CryptXXX)的問題,不過全面性而多層次的解決方案是必須的,從閘道到網路,一直到端點和伺服器都要加以防護,將風險降到最少。
趨勢科技提供不同的解決方案來保護個人客戶和網路。對於組織而言,可以在網頁閘道透過InterScan Web Security來封鎖CryptXXX。在此同時,端點解決方案如趨勢科技PC-cillin雲端版,趨勢科技Smart Protection Suites和Worry-Free Pro可以偵測惡意檔案和封鎖所有相關惡意網址來保護使用者和組織以解決此威脅。安裝趨勢科技Smart Protection Suites的系統還可以透過趨勢科技Endpoint Application Control來防護此威脅。
相關雜湊值:
- DF7E00A7DE1C584F0BF71BB583673A9CA4511AEF – Ransom_WALTRIX.C
- ADCE8CF4C31F1980C2B1D952A5A931D7C8DCDD8C – Ransom_WALTRIX.C
- B3CA5D55F0D38AC78A86A36323A8498854E3FA80 – Ransom_WALTRIX.C
@原文出處:Will CryptXXX Replace TeslaCrypt After Ransomware Shakedown?
★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載