勒索病毒也爆山寨版? 涉嫌抄襲 CryptXXX 的CrypMIC

俗話說:「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族,似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹,希望藉此海撈一票。

圖 1:超級比一比:CrypMIC  (左) 和 CryptXXX (右) 勒索訊息及付款網站。
圖 1:超級比一比:CrypMIC  (左) 和 CryptXXX (右) 勒索訊息及付款網站。

CrypMIC 和 CryptXXX 有許多共通之處:兩者都是經由 Neutrino 漏洞攻擊套件 來散布,並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] /  UXXXXXX]),而其函式的命名也相同 (MS1、MS2)。此外,兩者也都採用了客製化通訊協定,經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。

然而進一步分析之後,我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如,CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱,這讓使用者更難分辨哪些檔案已遭到綁架。此外,兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序,並且會將此資訊回報給 C&C 伺服器。

下表比較兩者的異同之處:

CrypMICCryptXXX 4.001 / 5.001
攻擊途徑惡意廣告、已遭入侵的網站惡意廣告、已遭入侵的網站
漏洞攻擊套件NeutrinoNeutrino
檔案名稱和類型當經由 Neutrino 植入電腦時會使用隨機命名的 DLL 檔名 (rad{隨機產生的十六進位碼}.tmp.dll )當經由 Neutrino 植入電腦時會使用隨機命名的 DLL 檔名 (rad{隨機產生的十六進位碼}.tmp.dll )
加密演算法AES-256 (在勒索訊息當中宣稱使用 RSA 4096)RSA 搭配 RC4
會加密的檔案類型數量901933 (4.001 與 5.001 版)
修改附檔名將原本的附檔名改成隨機的十六進位碼:{32 位數十六進位碼}.{5 位數十六進位碼},如: 0412C29576C708CF0155E8DE242169B1.6B3FE
加密時會掃瞄的磁碟機D 至 Z、%USERPROFILE%,以及可卸除式磁碟與網路磁碟B 至 Z,以及可卸除式磁碟與網路磁碟
勒索訊息檔案名稱README.TXT、README.HTML、README.BMP!README.HTML、!README.BMP
開機自動啟動與潛伏機制%User Startup%\{非重複 ID}.lnk,其中 {非重複 ID} 部分為 12 位數十六進位碼
將螢幕畫面鎖住
虛擬化反制與虛擬機器 (VM) 檢查機制根據 CPUID;即使在 VM 中執行仍會執行加密,並且會將資訊傳回 C&C 伺服器無 VM 檢查機制
勒贖金額1.2 至 2.4 比特幣 (依 2016 年 7 月 15 日匯率約合 792 至 1,597 美元)1.2 至 2.4 比特幣 (依 2016 年 7 月 15 日匯率約合 792 至 1,597 美元)
付款方式比特幣,Tor (洋蔥路由器) 網路比特幣,Tor (洋蔥路由器) 網路
C&C 通訊和資訊竊取從 C&C 伺服器取得 AES 加密金鑰及勒索訊息內容;將系統資訊及加密結果傳送回 C&C 伺服器從 C&C 伺服器取得 RSA 公開金鑰、付款網站網域資訊以及資訊竊取模組 (fx100.dll);將系統資訊及加密結果傳送回 C&C 伺服器
網路活動經由 TCP 協定的 443 連接埠經由 TCP 協定的 443 連接埠
刪除陰影複製備份vssadmin
圖 2:Neutrino 漏洞攻擊套件在 7 月 14 日將一個新版的 CryptXXX (5.001) 散播到日本。
圖 2:Neutrino 漏洞攻擊套件在 7 月 14 日將一個新版的 CryptXXX (5.001) 散播到日本。

 

由於 Angler 漏洞攻擊套件已從加密勒索病毒活動的地平線消失,因而使得 CryptXXX 開始改用 Neutrino 漏洞攻擊套件。根據報導,此套件最近也經常散布其他勒索病毒家族,如:CryptoWallTeslaCryptCryptoLocker 及 Cerber

我們觀察到 Neutrino 在某個星期當中曾輪流散布 CrypMIC 和 CryptXXX。在 7 月 6 日一開始,Neutrino 先是散布 CrypMIC,然後在 7 月 8 日又改為散布 CryptXXX 4.001。到了 7 月 12 日又開始散布 CrypMIC,然後隔天又改回 CryptXXX。同一星期,Neutrino 也曾經由惡意廣告散布 Cerber以及其他網路犯罪集團的其他惡意程式。到了 7 月 14 日,Neutrino 又開始散布新版的 CryptXXX (5.001 版)。

CryptXXX 5.001 不算大改版,僅做了少許變更,例如修改附加在被加密檔案內的資料結構。其加密方法、加密檔案類型以及封包資訊等等,都和 4.001 版相同。

圖 3:我們經由 Cuckoo Sandbox 惡意程式分析工具發現,CryptXXX 4.001 與其先前的版本非常雷同,會竊取各種應用程式當中儲存的帳號密碼。
圖 3:我們經由 Cuckoo Sandbox 惡意程式分析工具發現,CryptXXX 4.001 與其先前的版本非常雷同,會竊取各種應用程式當中儲存的帳號密碼。

CrypMIC 和 CryptXXX 對企業來說尤其危險,因為它們還會將可卸除式磁碟與網路磁碟上的檔案加密。不過,CrypMIC 只能將已對應到磁碟機代號的網路共用資料夾檔案加密。

反觀 CryptXXX 則能夠自動掃瞄本機上已連線的網路共用資料夾,並將其檔案加密。此外,CryptXXX 4.001 還會下載一個名為「fx100.dll」的資訊竊取模組 (趨勢科技命名為 TSPY_STILLER.B) 並將它載入記憶體中執行,此模組可竊取下列應用程式當中所儲存的帳號密碼資料:

  • 網路磁碟機對應工具 (FTP、WebDAV、HTTTP 與 SFTP 用戶端)
  • Windows 上的檔案管理程式
  • 可管理遠端檔案 (如雲端檔案) 的分散式檔案系統用戶端
  • 遠端桌面工具 (RDP、VNC 伺服器)
  • VOIP 和網際網路撥號程式
  • 視訊聊天軟體
  • 網站應用程式架構 (如:ASPNET)
  • VPN 用戶端
  • 即時通訊軟體用戶端 (包括專為企業設計的軟體)
  • 下載管理程式
  • 網站瀏覽器
  • 電子郵件用戶端
  • 線上撲克遊戲軟體

不論 CrypMIC 或 CryptXXX 對企業和一般使用者來說都相當危險,因為它們會竊取並挾持資料,而且還會竊取其他應用程式當中所儲存的帳號密碼。更何況,支付贖金並不能保證使用者可救回自己的檔案。例如,CrypMIC 作者所提供的解密程式就被踢爆根本沒用。此外,支付贖金只會助長歹徒,讓更多企業和使用者遭到勒索病毒襲擊。

除了定期備份檔案之外,隨時保持系統更新也是另一個降低勒索病毒風險的有效方法。此外,建議使用者應該安裝一套能夠保護系統、伺服器與網路的多層式的防禦。

趨勢科技解決方案

企業可採用趨勢科技 Deep Discovery™ Email Inspector 及 InterScan™ Web Security 在網站和電子郵件層次攔截勒索病毒。此外還有趨勢科技 Deep Discovery Inspector  可偵測惡意的網路流量、通訊以及其他試圖讓勒索病毒進入網路的惡意活動。

趨勢科技Deep Security可防範應用程式 (如瀏覽器) 遭到漏洞攻擊 (也就是 CrypMIC 和 CryptXXX 所採用的手法),防止勒索病毒進入系統。在端點層次,趨勢科技 Smart Protection Suites可藉由行為監控、應用程式控管、漏洞防堵、網站防護等功能來發掘並阻止可疑的行為,以及勒索病毒相關的漏洞攻擊。

除此之外,趨勢科技更提供了專為中小企業設計的防護,透過Worry-Free Pro的雲端防護、行為監控、即時網站信譽評等,企業就能保護裝置和電子郵件。在一般使用者方面,趨勢科技PC-cillin雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及 CrypMIC 和 CryptXXX 這類威脅相關的檔案。

以下是相關的 SHA1 雜湊碼:

  • C6415524E1C8EA3EAD8C33EFF8E55E990CA5579E – RANSOM_CRYPMIC.A
  • 156FB73151D136FE601134C946C3D50168996217 – RANSOM_CRYPMIC.A
  • 7B4A57BC9D96B79DE49462B9EA37D1B1F202C99C – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
  • 704901B890019351E1C9C984FFB32C7F5F4D3BA6 – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
  • 3F43B713CE057E1930E724488BB8E6433C44A4E6 – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
  • 4E020D18863815AE6042D5B4B07080F0F9A6DB0D – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
  • A31D130B1BA2A74996C233B862A796B810DA26AC – TSPY_STILLER.B (fx100.dll)

 

原文出處:CrypMIC Ransomware Wants to Follow CryptXXX’s Footsteps

 

cloudsec FB banner

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數