俗話說:「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族,似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹,希望藉此海撈一票。
CrypMIC 和 CryptXXX 有許多共通之處:兩者都是經由 Neutrino 漏洞攻擊套件 來散布,並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] / UXXXXXX]),而其函式的命名也相同 (MS1、MS2)。此外,兩者也都採用了客製化通訊協定,經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。
然而進一步分析之後,我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如,CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱,這讓使用者更難分辨哪些檔案已遭到綁架。此外,兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序,並且會將此資訊回報給 C&C 伺服器。
下表比較兩者的異同之處:
| CrypMIC | CryptXXX 4.001 / 5.001 | |
| 攻擊途徑 | 惡意廣告、已遭入侵的網站 | 惡意廣告、已遭入侵的網站 |
| 漏洞攻擊套件 | Neutrino | Neutrino |
| 檔案名稱和類型 | 當經由 Neutrino 植入電腦時會使用隨機命名的 DLL 檔名 (rad{隨機產生的十六進位碼}.tmp.dll ) | 當經由 Neutrino 植入電腦時會使用隨機命名的 DLL 檔名 (rad{隨機產生的十六進位碼}.tmp.dll ) |
| 加密演算法 | AES-256 (在勒索訊息當中宣稱使用 RSA 4096) | RSA 搭配 RC4 |
| 會加密的檔案類型數量 | 901 | 933 (4.001 與 5.001 版) |
| 修改附檔名 | 無 | 將原本的附檔名改成隨機的十六進位碼:{32 位數十六進位碼}.{5 位數十六進位碼},如: 0412C29576C708CF0155E8DE242169B1.6B3FE |
| 加密時會掃瞄的磁碟機 | D 至 Z、%USERPROFILE%,以及可卸除式磁碟與網路磁碟 | B 至 Z,以及可卸除式磁碟與網路磁碟 |
| 勒索訊息檔案名稱 | README.TXT、README.HTML、README.BMP | !README.HTML、!README.BMP |
| 開機自動啟動與潛伏機制 | 無 | %User Startup%\{非重複 ID}.lnk,其中 {非重複 ID} 部分為 12 位數十六進位碼 |
| 將螢幕畫面鎖住 | 否 | 是 |
| 虛擬化反制與虛擬機器 (VM) 檢查機制 | 根據 CPUID;即使在 VM 中執行仍會執行加密,並且會將資訊傳回 C&C 伺服器 | 無 VM 檢查機制 |
| 勒贖金額 | 1.2 至 2.4 比特幣 (依 2016 年 7 月 15 日匯率約合 792 至 1,597 美元) | 1.2 至 2.4 比特幣 (依 2016 年 7 月 15 日匯率約合 792 至 1,597 美元) |
| 付款方式 | 比特幣,Tor (洋蔥路由器) 網路 | 比特幣,Tor (洋蔥路由器) 網路 |
| C&C 通訊和資訊竊取 | 從 C&C 伺服器取得 AES 加密金鑰及勒索訊息內容;將系統資訊及加密結果傳送回 C&C 伺服器 | 從 C&C 伺服器取得 RSA 公開金鑰、付款網站網域資訊以及資訊竊取模組 (fx100.dll);將系統資訊及加密結果傳送回 C&C 伺服器 |
| 網路活動 | 經由 TCP 協定的 443 連接埠 | 經由 TCP 協定的 443 連接埠 |
| 刪除陰影複製備份 | vssadmin | 否 |
由於 Angler 漏洞攻擊套件已從加密勒索病毒活動的地平線消失,因而使得 CryptXXX 開始改用 Neutrino 漏洞攻擊套件。根據報導,此套件最近也經常散布其他勒索病毒家族,如:CryptoWall、TeslaCrypt、CryptoLocker 及 Cerber。
我們觀察到 Neutrino 在某個星期當中曾輪流散布 CrypMIC 和 CryptXXX。在 7 月 6 日一開始,Neutrino 先是散布 CrypMIC,然後在 7 月 8 日又改為散布 CryptXXX 4.001。到了 7 月 12 日又開始散布 CrypMIC,然後隔天又改回 CryptXXX。同一星期,Neutrino 也曾經由惡意廣告散布 Cerber以及其他網路犯罪集團的其他惡意程式。到了 7 月 14 日,Neutrino 又開始散布新版的 CryptXXX (5.001 版)。
CryptXXX 5.001 不算大改版,僅做了少許變更,例如修改附加在被加密檔案內的資料結構。其加密方法、加密檔案類型以及封包資訊等等,都和 4.001 版相同。
CrypMIC 和 CryptXXX 對企業來說尤其危險,因為它們還會將可卸除式磁碟與網路磁碟上的檔案加密。不過,CrypMIC 只能將已對應到磁碟機代號的網路共用資料夾檔案加密。
反觀 CryptXXX 則能夠自動掃瞄本機上已連線的網路共用資料夾,並將其檔案加密。此外,CryptXXX 4.001 還會下載一個名為「fx100.dll」的資訊竊取模組 (趨勢科技命名為 TSPY_STILLER.B) 並將它載入記憶體中執行,此模組可竊取下列應用程式當中所儲存的帳號密碼資料:
- 網路磁碟機對應工具 (FTP、WebDAV、HTTTP 與 SFTP 用戶端)
- Windows 上的檔案管理程式
- 可管理遠端檔案 (如雲端檔案) 的分散式檔案系統用戶端
- 遠端桌面工具 (RDP、VNC 伺服器)
- VOIP 和網際網路撥號程式
- 視訊聊天軟體
- 網站應用程式架構 (如:ASPNET)
- VPN 用戶端
- 即時通訊軟體用戶端 (包括專為企業設計的軟體)
- 下載管理程式
- 網站瀏覽器
- 電子郵件用戶端
- 線上撲克遊戲軟體
不論 CrypMIC 或 CryptXXX 對企業和一般使用者來說都相當危險,因為它們會竊取並挾持資料,而且還會竊取其他應用程式當中所儲存的帳號密碼。更何況,支付贖金並不能保證使用者可救回自己的檔案。例如,CrypMIC 作者所提供的解密程式就被踢爆根本沒用。此外,支付贖金只會助長歹徒,讓更多企業和使用者遭到勒索病毒襲擊。
除了定期備份檔案之外,隨時保持系統更新也是另一個降低勒索病毒風險的有效方法。此外,建議使用者應該安裝一套能夠保護系統、伺服器與網路的多層式的防禦。
趨勢科技解決方案
企業可採用趨勢科技 Deep Discovery™ Email Inspector 及 InterScan™ Web Security 在網站和電子郵件層次攔截勒索病毒。此外還有趨勢科技 Deep Discovery Inspector 可偵測惡意的網路流量、通訊以及其他試圖讓勒索病毒進入網路的惡意活動。
趨勢科技Deep Security可防範應用程式 (如瀏覽器) 遭到漏洞攻擊 (也就是 CrypMIC 和 CryptXXX 所採用的手法),防止勒索病毒進入系統。在端點層次,趨勢科技 Smart Protection Suites可藉由行為監控、應用程式控管、漏洞防堵、網站防護等功能來發掘並阻止可疑的行為,以及勒索病毒相關的漏洞攻擊。
除此之外,趨勢科技更提供了專為中小企業設計的防護,透過Worry-Free Pro的雲端防護、行為監控、即時網站信譽評等,企業就能保護裝置和電子郵件。在一般使用者方面,趨勢科技PC-cillin雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及 CrypMIC 和 CryptXXX 這類威脅相關的檔案。
以下是相關的 SHA1 雜湊碼:
- C6415524E1C8EA3EAD8C33EFF8E55E990CA5579E – RANSOM_CRYPMIC.A
- 156FB73151D136FE601134C946C3D50168996217 – RANSOM_CRYPMIC.A
- 7B4A57BC9D96B79DE49462B9EA37D1B1F202C99C – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
- 704901B890019351E1C9C984FFB32C7F5F4D3BA6 – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
- 3F43B713CE057E1930E724488BB8E6433C44A4E6 – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
- 4E020D18863815AE6042D5B4B07080F0F9A6DB0D – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
- A31D130B1BA2A74996C233B862A796B810DA26AC – TSPY_STILLER.B (fx100.dll)
原文出處:CrypMIC Ransomware Wants to Follow CryptXXX’s Footsteps
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
