為了開發更多攻擊目標,同時提高受害者支付贖金的比率,勒索病毒 Ransomware (勒索軟體/綁架病毒)作者正試圖放棄原本熟悉的勒索病毒家族,開發出各種最新技巧的家族。
RAA 勒索病毒即是一例 (趨勢科技命名:RANSOM_JSRAA.A),絕大多數的勒索病毒都是採取執行檔 (.exe、.dll) 的形態,但 RAA 卻是少數完全採用腳本 (script) 語言撰寫的勒索病毒,而且是採用瀏覽器專用的腳本語言。
根據趨勢科技的分析,此勒索病毒變種是以 JScript (而非 JavaScript) 所撰寫,這一點某些報導也曾經指出。(這兩種語言和 Java 一點關係也沒有,Microsoft 知識庫文章對這三者的分別有簡短的說明。) JScript這個腳本語言是專為 Windows 系統所設計,並由 Microsoft Internet Explorer (IE) 瀏覽器當中的 Windows Scripting Host 引擎負責執行,但它無法在新的 Edge 瀏覽器上執行。
也許駭客是希望能使用 JScript 來增加防毒軟體的偵測難度,因為他們可以更容易做出變形和混淆編碼的程式。
圖 1:RAA 的勒索訊息是以俄羅斯文撰寫,內容包含如何支付贖金 (0.39 比特幣,約合 250 美元) 以取得解開檔案的金鑰和軟體。
JScript 與 JavaScript 有些許類似,因為兩者都是從 ECMAScript 衍生而來,因此這幾個腳本語言多多少少有點「相通」。簡單來說,JScript 是 Microsoft 版本的 ECMAScript而 JavaScript 則是 Mozilla 版本的 ECMAScript,其中一個最大的差別在於 JScript 可以存取 IE 所開放出來的 ActiveX 物件及某些系統物件,如 WScript 物件。
圖 2:第 6 行使用了 JScript 所特有的 WScript 物件。
為何選擇 JScript?
這已經不是勒索病毒第一次採用腳本語言,Cryptowall 4.0 的檔案下載程式就是用 JScript 所撰寫;而 PowerWare 也會利用 PowerShell 腳本語言來執行一些惡意行為,另外,Ransom32 是完全使用 JavaScript 撰寫,但其包裝檔仍含有一般的二進位執行檔,包括一個TOR 洋蔥路由器用戶端和 Node.js 開發平台的二進位檔案和模組用來執行腳本。
由於大多數的惡意程式都採用需要組譯的程式語言來撰寫 (所以勒索病毒才多半是執行檔),因此,使用不常用的語言或許較不易被資安軟體偵測而網路犯罪集團也知道這是一場競賽,唯有在他們的惡意程式無法被偵測的空窗期,他們才能獲得最大利潤。
這類語言的優勢除了容易撰寫之外,也很容易跨平台執行,其程式碼不需任何修改就能在今日各種 Windows 版本的裝置上執行,負責執行 JScript 的 Windows Scripting Host 引擎從 Windows XP 時代就已存在至今。
深入分析 RAA 程式碼
RAA 無法透過任何瀏覽器 (除了 IE 之外) 來執行其跨網站腳本攻擊,它還是需要 Windows Scripting Host 才能執行,而且,IE 瀏覽器也要允許ActiveX 物件執行才行,然而問題的癥結應該是因為 RAA 程式碼當中有多處用到 WScript 物件。例如以下程式碼在 Chrome 瀏覽器中就會造成錯誤:
圖 3:此威脅在 Chrome 瀏覽器中執行時的錯誤訊息。
不過,此惡意程式還是有其他的執行方式,包括:直接點選腳本檔案、經由垃圾郵件附件檔案、經由 Office 文件中的物件,或者經由指令列介面來執行。其可能的檔案名稱包括:
- st.js
- ST.js
- mgJaXnwanxlS_doc_.js
- _mgJaXnwanxlS_doc_.js
我們發現RAA 採用了 CryptoJS 來執行加密程序,這是一套開放原始碼的 JavaScript 加密程式庫,可支援 AES-128、AES-192 和 AES-256 演算法:
var clear_tpcVJWrQG = CryptoJS.enc.Base64.parse(tpcVJWrQG);
被加密的檔案會被冠上「.locked」副檔名,到目前為止,RAA 會加密的檔案有 16 種,它會跳過檔名中有「.locked」、「~」和「$」的檔案,此外,他也會略過下列目錄中的檔案:
- Program Files 和 Program Files (x86)
- Windows
- Recycle Bin
- Recycler
- AppData
- Temp
- ProgramData
- Microsoft
RAA 採用 base64 編碼,並且會在系統中植入 FAREIT (亦稱為 Pony) 惡意程式,這是一個專門竊取資訊的惡意程式,它會偷取 FTP 用戶端以及其他檔案管理軟體、電子郵件用戶端 (如 Outlook)、網站瀏覽器所儲存的帳號密碼,甚至偷取比特幣(Bitcoin)錢包,並且將偷到的資料傳回其幕後操縱 (C&C) 伺服器,此外,也會刪除「磁碟區陰影複製服務」(Volume Shadow Copy Service) 相關的系統登錄資料:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS
如此一來,系統的磁碟備份復原功能就會停用,讓此威脅更容易得逞。
RAA 也提供免費解開少許檔案的功能,以證明被加密的檔案確實可以復原,這讓人聯想起之前的 DMA Locker 4.0 (趨勢科技命名:RANSOM_MADLOCKER.B) 以及某些 JIGSAW 加密勒索病毒變種,它甚至透過 Bitmessage 來提供專屬的「客戶」支援服務,這是一種分散式 P2P 通訊協定可發送加密的訊息。
趨勢科技解決方案
網路犯罪集團仍持續開發各種聰明手法來盡可能擴大勒索病毒的感染範圍,這一次,他們使用了腳本語言來躲避資安軟體的偵測與清除。
遵從 3-2-1 原則來備份檔案,是降低勒索病毒威脅 (如 RAA) 的一項有效方法,此外,企業和一般使用者還需要一套多層式防禦來防範這類威脅。
趨勢科技提供了各種不同解決方案來保護大型企業、中小企業以及一般使用者,協助使用者降低這項威脅的風險。
大型企業可循序漸進採用多層式的防禦來盡可能降低這類威脅的風險。趨勢科技 Deep Discovery™ Email Inspector 和 InterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。在端點裝置方面,有趨勢科技Smart Protection Suites 提供的行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊。在網路方面,有趨勢科技 Deep Discovery Inspector 可偵測並攔截勒索病毒。至於趨勢科技Deep Security則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。
對於中小企業,Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護,其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。
在一般使用者方面,趨勢科技PC-cillin雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。
除此之外,使用者還有一些我們的免費工具可用,例如:趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒,而趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案,這樣您就不須支付贖金來取得解密金鑰。
以下是這項攻擊相關的雜湊碼:
- 2C0B5637701C83B7B2AEABDF3120A89DB1DBAAD7- RANSOM_JSRAA.A
- 822BF6D0EB04DF65C072B51100C5C852761E7C9E – TSPY_FAREIT.YYSVN
原文出處: JScript-toting Ransomware Can Steal Your Passwords and Bitcoin Wallets, Too
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。