目標式勒索:French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

近期勒索病毒:更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器,時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

圖 1:FrenchLocker 的勒索訊息畫面。
圖 1:FrenchLocker 的勒索訊息畫面。

除此之外,French Locker 還會查看系統上是否有下列執行程序正在執行,如果有的話就自行終止。

  • Processhacker
  • Taskmgr
  • Wireshark
  • Chrome
  • Firefox
  • Skype

專挑特定醫療機構的網路基礎架構下手的SAMSAM推出新版本

SAMSAM 出現了一個新的變種,趨勢科技命名為 RANSOM_SAMAS.I。其先前的版本在 2016 年相當盛行,專門以醫院的伺服器為目標。傳統的勒索病毒都是利用社交工程技巧、惡意廣告或垃圾郵件來散布,但 SAMSAM 卻特立獨行,專挑特定醫療機構的網路基礎架構下手。此勒索病毒的駭客會先取得醫院網路系統管理員的權限,然後再感染特定主機。他們會讓受害者網路上一定數量的電腦都遭到感染,使得關鍵的系統和服務停擺,迫使受害者不得不支付贖金。

這是目前 SAMSAM 最新的變種之一,但每當資安機構公開其威脅指標 (IOC) 時,此家族就會變更行為模式。

圖 2:SAMSAM 最新的勒索訊息。
圖 2:SAMSAM 最新的勒索訊息。

 

BrainCrypt使用 Google Go 程式語言

去年,我們發現了第一個以 Google Go 程式語言撰寫的勒索病毒, 現在又冒出另一個案例,這就是 BrainCrypt (趨勢科技命名為 RANSOM_BRAINCRYPT)。但它除了採用較特殊的程式語言之外,還算是個相當標準的勒索病毒。其勒索訊息並無特殊之處,只是簡單地說明狀況並要求受害者用電子郵件和歹徒聯繫。

圖 3:BrainCrypt 的勒索訊息。
圖 3:BrainCrypt 的勒索訊息。

 

我們從勒索病毒的不斷演進可以看出,網路犯罪集團一直在積極採納新的技術和技巧,藉此持續提升其惡意程式威力。也正因如此,所有使用者都應隨時保持警戒,並隨時關心威脅的最新發展。
原文出處:Ransomware Recap: Tougher Tactics and Evasion Techniques

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數