磁碟加密勒索病毒HDDCryptor的變種(趨勢科技偵測為RANSOM_HDDCRYPTOR.AUSE)據報在巴西和沙烏地阿拉伯感染了許多受害者。它跟2016年11月攻擊舊金山市政交通局(SFMTA)的磁碟加密惡意軟體是同一個家族,當時迫使公共交通系統手動分配路線,並打開票閘以防止運作停擺。
HDDCryptor(也被稱為Mamba)在去年9月首次出現。它可以加密透過SMB分享的網路資源,包括網路磁碟、資料夾、檔案、印表機和序列埠。它惡意使用一些免費軟體、開放原始碼軟體和商用軟體來搞亂磁碟及掛載的SMB磁碟,並且用修改過的開機引導程式(bootloader)覆寫主開機記錄(MBR),進而鎖住受感染電腦的硬碟。受感染系統重新啟動後會顯示勒贖通知而非正常的登入畫面。
[延伸閱讀:勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟 ]
它的感染載體讓人聯想到其他家族(如Crysis和Erebus Linux勒索病毒),會利用漏洞攻擊來在植入並執行惡意軟體前先取得管理員權限。到了11月下旬,HDDCryptor更新使用了更加精簡的加密程序及防沙箱和反除錯功能,更能夠去躲避防毒和其他偵測技術。
[延伸閱讀:<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播]
HDDCryptor修改受感染系統的MBR以顯示勒贖通知
開放原始碼磁碟加密軟體DiskCryptor的憑證和簽章,它是被HDDCryptor利用的工具之一
來自HDDCryptor操作者的電子郵件,其中包含了贖金要求及如何使用比特幣付款的說明
[延伸閱讀:攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅]
就跟Petya一樣,新的HDDCryptor用PsExec在中毒電腦上執行勒索病毒。值得注意的是其變動性的贖金要求;跟其他固定贖金的勒索病毒不同,HDDCryptor操作者會根據感染規模來調整受害者的贖金。這個特點也出現在SFMTA攻擊中,攻擊者要求了價值73,000美元的比特幣。
HDDCryptor的重新出現也可以看出勒索病毒在威脅環境的成熟度:更強大的影響,針對的範圍和手法的多樣性。就跟WannaCry(想哭)勒索蠕蟲、Petya 和 SOREBRECT這些病毒家族一樣,也越來越多地利用合法系統內建或開放原始碼工具。另一個其越來越先進的跡象是攻擊者重新洩漏和披露的方式,就如Shadow Broker集團所做的那樣,轉而帶來破壞性的影響。
隨著網路犯罪分子越來越將企業作為目標以達到賺錢的目的,企業必須同樣地積極主動,保護好自己會經手關鍵資料的資產和平台。採用對抗勒索病毒的最佳實作來減少受攻擊面:定期修補和防護所使用的應用程式和閘道、應用最低權限原則、加強認證方式及遠端連線方式。另外,限制或停用不需要的系統管理工具(像是PsExec,PowerShell)。要對抗勒索病毒沒有特效藥,這也是為什麼會建議部署縱深防禦(多層次安全對策)。
趨勢科技的勒索病毒解決方案
企業可以利用多層次防禦來解決像勒索病毒這類的威脅風險。電子郵件和網頁閘道解決方案(如
趨勢科技的Deep Discovery Email Inspector和InterScan™ Web Security )可以阻止勒索病毒抵達使用者的電腦。在端點層級,趨勢科技的趨勢科技 Smart Protection Suites 提供高保真機器學習、行為監控、應用程式控制和漏洞防護等多種功能來最小化此威脅所造成的影響。趨勢科技的Deep Discovery Inspector能夠在網路層偵測並封鎖勒索病毒,同時趨勢科技Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或是雲端。
對於中小企業,Worry-Free Pro透過Hosted Email Security來提供使用雲端技術的電子郵件閘道安全防護。它的端點防護也提供了如行為監控和即時網頁信譽評比技術等多項功能來偵測和封鎖勒索病毒。對於家庭用戶。趨勢科技HPC-cillin雲端版提供強大的防護來對抗勒索病毒,能夠封鎖與此威脅相關的惡意網站、電子郵件和檔案。
使用者也可以利用我們的趨勢科技檔案解密工具,可以解密特定加密勒索病毒所加密的檔案而無須支付贖金或使用解密金鑰。
@原文出處:Disk-Locking HDDCryptor/Mamba Ransomware Makes a Comeback