作賊喊抓賊!加密勒索病毒竟說自己是受害者

最近,勒索病毒 Ransomware (勒索軟體/綁架病毒)的行為成了大家討論的重點,例如:GOOPIC 給予的贖金支付期限特別長、RAA 會偷取密碼、最新的 JIGSAW 變種則提供了線上聊天支援,而這些還只是六月份出現的案例而已。不過,在這些新的行為當中,最特殊的還是MIRCOP 加密勒索病毒。

MIRCOP 加密勒索病毒 (趨勢科技命名為 RANSOM_MIRCOP.A) 會將一切怪罪到受害者身上,並且還不提供如何支付贖金的指示,事實上,它顯然假設受害者已經知道該如何「歸還」款項。

圖 1:MIRCOP 的勒贖訊息。

此處的重點在於「歸還」這件事,就整個情況看來,受害者似乎心知肚明該將贖金支付給誰,引用「蓋伊·福克斯」面具頭像的勒索訊息似乎暗示受害者「偷了」某知名駭客激進團體的東西,並且威脅受害者如不歸還這筆金額,將採取進一步行動。

編按:蓋伊·福克斯面具是根據蓋伊·福克斯的面容加以風格化而描繪成的一種肖像。這位火藥陰謀計劃中最著名的成員曾於1605年企圖在倫敦炸毀上議院但未成功。插畫家大衛·勞埃德將蓋伊·福克斯的臉部肖像設計成有著特大的笑容、透紅的雙頰、開開往上翹的八字鬍、以及下巴上有著細細尖尖垂直鬍鬚樣子的風格。1982年所出版的《V怪客》漫畫以及2006年所改編的同名電影都將這樣風格的肖像用作為故事情節的主要元素,使得該肖像已然成為各式各樣抗議活動的象徵。自其在網路論壇上出現之後,網路駭客組織團體「匿名者」便在2008年的佔領運動「Chanology 行動」中使用這種風格的面具肖像,也曾在世界各地其他的反政府、反體制的示威遊行中使用過,使得該面具成為眾所周知匿名者組織的象徵符號。
以上來自維基百科: 蓋伊·福克斯面具

MIRCOP 要求使用者歸還 48.48 比特幣(Bitcoin) (依 2016 年 6 月 23 日的匯率約合 28,730.70 美元),這是我們所見過最高的贖金。歹徒在勒索訊息最後留下了一個比特幣位址,有別於其他勒索訊息都會提供逐步的指示教導受害者如何付款,MIRCOP 顯然假設受害者相當熟悉比特幣的交易。趨勢科技查了一下這個位址,發現至今仍無任何受害者付款。

圖 2:比特幣付款位址。

感染途徑

MIRCOP 是經由垃圾郵件(SPAM)中隨附的文件散布,該文件假冒成泰國海關所用的貨物進出口表格,此外,文件當中也使用了巨集,並且會利用 Windows  PowerShell 的軟體漏洞來下載並執行其勒索病毒,除此之外,文件的內容也會提醒使用者啟用巨集。

圖 3:惡意附件檔案。

在使用者開啟檔案並啟用巨集之後,使用者就會連上一個已遭入侵的網址:hxxp://www.blushy.nl/u/putty.exe 並下載這個惡意程式來執行,不過詭異的是,這個已遭入侵的網站卻是荷蘭一個專賣成人用品的網路商店。

勒索病毒一旦執行,就會在電腦上的 %temp% 暫存檔資料夾當中產生三個檔案,其中:「c.exe」專門竊取資訊,「x.exe」和「y.exe」則會將檔案加密。

圖 4:MIRCOP 的惡意檔案。

MIRCOP 不像其他勒索病毒會在被加密的檔案後面加上某種副檔名,而是在檔名之前加上「Lock.」字樣,此外,它也會將常用的資料夾加密,如果開啟一個被加密的檔案,就會看到檔案內容已變成一堆看不懂的亂碼。


圖 5:被更名後的檔案以及被加密後的檔案內容範例。

除了將檔案加密之外,MIRCOP  還會竊取某些程式當中儲存的帳號密碼,如:Mozilla Firefox、Google Chrome、Opera、Filezilla 以及 Skype。

社交工程垃圾郵件經常會導致惡意程式感染,尤其當惡意程式運用了一些奸詐的伎倆,例如在郵件附檔中使用巨集來攻擊 PowerShell 的漏洞,使用者在收到不明來源的電子郵件時應特別小心,且應避免下載或開啟其中的任何附件。

趨勢科技解決方案

趨勢科技提供了各種不同解決方案來保護大型企業、中小企業以及一般使用者,協助使用者降低感染加密勒索病毒的風險。

大型企業可循序漸進採用多層式的防禦來盡可能降低這類威脅的風險。趨勢科技 Deep Discovery™ Email InspectorInterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。在端點裝置方面,有趨勢科技Smart Protection Suites提供的行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊。在網路方面,有趨勢科技 Deep Discovery Inspector 可偵測並攔截勒索病毒。至於趨勢科技Deep Security 則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。

對於中小企業,Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護。其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。

在一般使用者方面,趨勢科技PC-cillin雲端版 可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。

除此之外,使用者還有我們一些免費工具可用,例如:趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒,而趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案,這樣您就不須支付贖金,也不需解密金鑰。

此攻擊相關檔案的 SHA1 雜湊碼如下:

1bd90a4c38aa94256a128e9e2e35bc1c4635d6fc

95f8d1202c865c3fa04ced9409f83ee2755fdb28

5009B0ab4efb7a69b04086945139c808e6ee15e1

2083b11a5bf6cf125ff74828c1a58c10cc118e1b

原文出處: MIRCOP Crypto-Ransomware Channels Guy Fawkes, Claims To Be The Victim Instead 作者:Jaaziel Carlos (威脅回應工程師)

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數