使用拋棄式電子郵件信箱服務的 R980 勒索病毒

或許是受到犯罪集團一再得逞的鼓舞，駭客們不斷開發出新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族和變種，而且速度快得驚人，最新出現的一個家族叫作「R980」(趨勢科技命名為 RANSOM_CRYPBEE.A)。

經由垃圾郵件或已遭入侵的網站散布

就目前所知，R980 是經由垃圾郵件或已遭入侵的網站散布。就像 Locky、Cerber 和 MIRCOP 一樣，挾帶此勒索病毒的垃圾郵件附檔當中暗藏著惡意巨集 (W2KM_CRYPBEE.A)，會從某個網址下載 R980。從今年 7 月 26 日趨勢科技偵測到 R980 至今，已發現多次它連線至該網址。

圖 2：惡意文件當中暗藏的巨集，此程式碼會從 hxxp:// bookmyroom.pk/assets/timepicker/f.exe 這個網址下載勒索病毒。

可加密的檔案類型有 151 種

R980 可加密的檔案類型有 151 種，使用的是 AES-256 和 RSA 4096 演算法。儘管被加密的檔案檔名末端會加上「.crypt」副檔名，但它卻與使用相同副檔名的舊版 CryptXXX 勒索病毒沒有任何相似之處。在加密方面，R980 使用了某個加密服務供應商 (CSP) 的 Windows 軟體程式庫來執行加密。

圖 3：如同 Locky 及其他勒索病毒一樣，R980 採用 RSA 演算法來加密檔案，並且呼叫某加密服務供應商的程式庫函式，如：CryptAcquireContext 及 CryptGenerateRandom。

為了長期躲藏在系統中，它會修改下列系統登錄機碼：HKCU\Software\Microsoft\Windows\CurrentVersion\Run。不過，有別於大多數的勒索病毒，它不會在感染系統之後刪除自己的檔案。此外，R980 也讓人聯想到 DMA Locker (RANSOM.MADLOCKER.B)，因為它會在系統當中留下以下元件及入侵指標 (IOC)：

rtext.txt – 勒索訊息內容
status.z – 入侵指標：代表勒索病毒第一次執行
status2.z – 入侵指標：代表執行的是植入系統中的病毒副本
k.z – 內含病毒從網路上下載的 base64 編碼資料
fnames.txt – 內含被加密檔案的名稱
圖 4：R980 的某個勒索訊息當中含有詳細的指示告訴受害者如何支付 0.5 比特幣來取得解密工具 (依 2016 年 8 月 9 日的匯率，約合 294.42 美元)。

駭客利用只有幾小時的時效就會自動刪除的拋棄式電子信箱

圖 5：R980 與其 C&C 伺服器的通訊流量，當中可看到它從伺服器取得給個別受害者支付贖金的比特幣位址。每個受害者所收到的位址都不一樣。

R980 會和其幕後操縱 (C&C) 伺服器通訊，來針對不同受害者提供不同的比特幣位址讓他們支付贖金。為了隱藏身分，駭客還特別利用 Mailinator 電子郵件服務來建立拋棄式郵件地址，這類地址只有幾小時的時效就會自動刪除。此外，駭客也利用同一服務來為受害者建立公開的電子郵件地址，讓受害者收取其宣稱的檔案解密工具連結。

儘管 R980 很粗糙地結合了前人的各家技巧，但由於它利用了惡意巨集，並結合已遭入侵的網站為感染管道，使得它仍是一項危險的威脅。因此，建議使用者最好停用 MS Office® 軟體的巨集功能，以免不小心開啟來自不明或可疑來源的電子郵件附檔。此外，一套良好的 3-2-1 原則備份策略也能有效防範勒索病毒威脅。

趨勢科技勒索病毒解決方案

要防範勒索病毒進入您的系統，您需要全方位的防護。一套多層式的防護，可在感染的每一階段攔截勒索病毒。對於像 R980 這樣的勒索病毒，趨勢科技可偵測其惡意巨集，並且在勒索病毒感染您的系統之前預先加以攔截。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載