2015年7月,一個名為「Encryptor RaaS」(趨勢科技偵測為RANSOM_CRYPRAAS.SM)的新勒索病毒即服務(Ransomware-as-a-Service)浮出檯面,想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬:跨平台,吸引人的價格,而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅,因為Encryptor RaaS可以對會員提供客製化服務。
Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板,讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來(如Cerber,開發者抽取40%的佣金),Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒,當然,為了躲避追查,比特幣(Bitcoin) 是首選交易貨幣。
早在2016年3月,趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒,同時也不斷地利用反防毒服務和加密服務。
但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落?
犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID,並不需要其他技術專長
Encryptor RaaS會在表層網路和黑暗網路(Dark Web)的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外,並不需要其他技術專長。他們還會取得一個「客戶ID」,所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額,並選擇使用哪些方法來散播定製的惡意軟體。
Encryptor RaaS使用C語言編寫,用RC6和RSA-2048演算法組合來加密231種類型的檔案。它還會生成一個ID讓受害者用來連上網路面板和閱讀付款說明。
圖1、用英語和德語所寫的勒贖通知會出現在中毒磁碟的每個資料夾中
受害者可以用聊天功能聯絡網路犯罪分子
Encryptor RaaS的整個基礎設施都隱藏在Tor網路中。受害者被指示用Tor2Web或Tor Browser等服務來連上。受害者可以用聊天功能聯絡網路犯罪分子。惡意分子不會多說什麼,通常只強調著「只要支付贖金,你就可以拿回你的檔案」。
圖2、受害者的網頁面板登錄介面
圖3、受害者登錄到網頁面板的截圖
為會員提供檔案簽章服務
要在這行存活代表必須要獲得生意,必須讓惡意軟體獲得更多下游的興趣。為此,開發者也開始為會員提供檔案簽章服務。吹噓自己能夠取得許多被竊的Authenticode,除了提供競標外,也讓它能夠免費簽章Encryptor RaaS樣本。
圖4、開發者將被竊Authenticode售予出價最高者
圖5、一個用來簽章Encryptor RaaS樣本的憑證:惡意使用和竊取數位憑證,特別是由開放憑證簽發機構所發布的憑證,是網路犯罪分子用來防止其惡意軟體被防毒軟體偵測的眾多方法之一。
開發者在這方面取得相當的成果。Encryptor RaaS常常無法被偵測。勒索病毒在躲避防毒偵測方面做得很成功:在純靜態分析引擎方面,35家中只有2家可以偵測,這並不包含使用現代防毒功能如行為偵測。還出現了另一個針對Linux的版本(RANSOM_CRYPRAAS.B),趨勢科技也確認了其真的可以運作。
圖6、Encryptor RaaS在2016年5月5日的被偵測率
Encryptor RaaS開發者的化名是「jeiphoos」,它在地下論壇甚至是社群媒體上都非常活躍。搜尋網路之後,我們發現了一則某人寫的Facebook留言,他可能跟勒索病毒的基礎設施有直接關係。巧合嗎?3月1日的Facebook狀態更新與Encryptor RaaS帶著新變種重新出現的時間相符合。他也對比特幣交易非常感興趣,如他的Twitter帳號所示。
圖7、Facebook狀態更新啟用Encryptor RaaS 新加功能(左);Twitter帳號截圖(右)
物極必反:系統被查封
Encryptor RaaS似乎做得非常成功。然而之前遭受了調查,它的一個C&C伺服器(可能是被開發者放棄或是錯誤地在網路上對外開放)被暴露且沒有用Tor隱藏。根據Shodan上的索引資料,Encryptor RaaS被發現將系統代管在合法的雲端服務上。在6月底,其中一個系統被查封。
圖8、Shodan上搜尋「Encryptor RaaS」的結果(左);其中一個C&C伺服器被查封的截圖(右)
Encryptor RaaS的整個基礎設施立即關閉,可能是開發者的預防措施。在讓系統恢復上線的四天後,開發者突然宣布結束,另外三個伺服器也被查封。
圖9、開發者聲明Encryptor RaaS的三個伺服器被查封
圖10、Encryptor RaaS的開發者關閉運作
突然關閉的通知立即放到所有解密用網站主頁和Encryptor RaaS的主網站:系統將在午夜關閉而不會釋放主要金鑰。我們仔細檢查Encryptor RaaS網站來確認「午夜」所代表的確切時間,以及參考時間是否為開發者的本地時區。
圖11、關機通知後顯示給受害者的訊息
其他訊息:早在2016年4月,會員所用的聊天室/論壇顯示出開發者和某些聲稱自己購買了勒索病毒服務的網站常客間充斥著矛盾。Encryptor RaaS系統在2016年7月5日下午5點左右關閉(格林威治標準時間),開發者給受害人的訊息表示他們已經無法回復自己的檔案,因為已經刪除了主要金鑰。
圖12、開發者給受害人的最後訊息
Encryptor RaaS的起落包含了許多層面的故事:用最少努力來快速致富的吸引力,一個似乎由錯誤所觸發的連鎖事件,以及它如何最好的闡釋了盜賊沒有榮譽。關鍵重點?對受害者來說是無價之寶的東西對這些壞人來說毫無價值。
趨勢科技的勒索病毒解決方案
Encryptor RaaS的崩落顯示出勒索病毒可能對個人用戶和企業所造成的致命損害。它還凸顯出完善備份策略以及主動式,多層次安全方案的重要性 – 從閘道、端點和網路到伺服器。
趨勢科技將Encryptor RaaS偵測為RANSOM_CRYPRAAS.SM,並將Linux上的變種偵測為RANSOM_CRYPRAAS.B。入侵指標(IoC)和簽章/未簽章樣本及Linux變種的雜湊值都可以在我們的附錄中找到。
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
@原文出處:The Rise and Fall of Encryptor RaaS 作者: Stephen Hilt和Fernando Mercês
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。