九月初,趨勢科技偵測到數量相當可觀的垃圾郵件活動,專門散播 Locky 勒索病毒最新變種。Locky 是一個相當知名的勒索病毒 Ransomware (勒索軟體/綁架病毒),首次發現於 2016 年初,然而它至今仍在持續演進,並經由多種不同的管道散布,尤其是透過垃圾郵件。我們仔細分析了近期垃圾郵件行動當中所蒐集到的樣本之後發現,網路犯罪集團使用了相當複雜精密的散布技巧,受害者遍布全球 70 多個國家。
在本文介紹的垃圾郵件行動中,歹徒交錯使用了兩種勒索病毒:Locky 和 FakeGlobe。他們會根據使用者點選郵件內惡意連結的時間來決定要提供 Locky 還是 FakeGlobe。因此使用者有可能重複感染兩種勒索病毒。
全球分布狀況與垃圾郵件行動分析
圖 1:第一波垃圾郵件分布情況。
圖 2:第一波垃圾郵件樣本。
此樣本肆虐最嚴重的地區為日本、中國和美國;另有 45% 的數量分散全球其他 70 多個國家,這波垃圾郵件的高峰期大約在 2017 年 9 月 4 日上午 10 點左右 (UTC+4)。這段期間,我們總共大約攔截了 298,000 封垃圾郵件。
圖 3:第二波垃圾郵件分布情況。
圖 4:第二波垃圾郵件樣本。
此樣本肆虐最嚴重的地區一樣是日本、中國和美國,另有 46% 的數量分散全球其他 70多個國家。這波垃圾郵件的高峰期大約在 2017 年 9 月 4 日下午 4 左右 (UTC +4)。這段期間,我們總共大約攔截了 284,000 封垃圾郵件。
這兩波的發生時間相當符合過去垃圾郵件的散發習慣,也就是在大多數人上班最常查看電子信箱的時間。根據其散發時間點、受害國家,以及電子郵件的相似程度來看,我們可以判定這兩波的樣本其實來自同一個集團。
此外,我們也追蹤了垃圾郵件發送端的 IP 位址,發現絕大多數垃圾郵件都來自印度、越南和伊朗。而這兩個樣本的發送來源總共分散在全球 185 個不同國家,可見該集團的勢力有多麼龐大。
垃圾郵件交替散布兩種勒索病毒
這兩波垃圾郵件都會挾帶惡意連結和附件檔案 (目前已改成 .7z 或 7-zip,而非 .zip),兩者皆假冒成寄給使用者的發票或帳單。連結點進去之後所下載的壓縮檔或郵件附件檔案當中的腳本檔兩者類似,只不過當它們在下載檔案時連上的是不同網址。
郵件中的連結所下載的腳本使用的是以下網址:
- com/JIKJHgft?
- org/p66/JIKJHgft
- com/JIKJHgft?
而附件檔案中的腳本使用的是以下網址:
- m-tensou[.]net/JIKJHgft?
- org/p66/JIKJHgft
根據我們的分析,它們所下載的二進位檔案不同:連上「geolearner.com/JIKJHgft?」這個網址的腳本會下載 Locky 的 .lukitus 變種,其隸屬代碼 (affiliate ID) 為「3」。隸屬代碼與受害者代碼 (victim ID) 會發送給 Locky 的幕後操縱 (C&C) 伺服器,歹徒可根據這些資訊來分配贖金款項。
圖 5:Locky 的桌布圖片與勒索訊息。
圖 6:Locky 贖金的付款網頁。
至於連上「m-tensou.net/JIKJHgft?」的腳本會下載 FakeGlobe 勒索病毒 (亦稱為「Globe Imposter」)。FakeGlobe 於今年六月首次現身,同樣是以假發票為誘餌。被它加密的檔案會多了一個「.txt」副檔名,此外該病毒也提供了一個支援網頁來方便受害者支付贖金。
圖 7:FakeGlobe 的勒索訊息畫面。
圖 8:FakeGlobe 的支援網頁。
過了幾小時之後,我們試著再從「m-tensou.net/JIKJHgft?」下載檔案,結果這次所下載到的是 Locky 勒索病毒,而非 FakeGlobe。所以看來歹徒其實會變換這些網址所下載到的檔案。
其他散布 FakeGlobe 和 Locky 的垃圾郵件行動
根據報導,8 月 30 日還有另一波垃圾郵件行動也會散布 Locky 和 FakeGlobe。如同前面兩波行動一樣,它一開始也是只散布 Locky 勒索病毒,但沒多久之後就換成了 FakeGlobe。我們最後看到的一波這類垃圾郵件是在 9 月 5 日。
圖 9:會散布 Locky 和 FakeGlobe 的垃圾郵件樣本。
這一波垃圾郵件挾帶的是含有惡意巨集的 DOC 檔案,這是一種誘騙使用者啟用巨集功能的常見伎倆 (因為 Word 的巨集功能預設是關閉的)。
圖 10:DOC 檔案開啟時會出現要求使用者啟用巨集的畫面。
這個檔案下載器會利用 VBA 巨集的 Auto Close (自動關閉) 功能,當使用者關閉 DOC 檔案時,巨集就會執行。
我們所蒐集到的 DOC 樣本會連到下列網址去下載檔案:
- https://qolseaboomdog.top/support.php?f=1
- https://newhostrcm.top/admin.php?f=1
當我們第一次分析時,該檔案下載的是 Locky 勒索病毒的 .lukitus 變種,隸屬代碼是「24」。緊接著,我們將網址中「f」參數的數值從「1」改成「2」,如下所示:
- https://qolseaboomdog.top/support.php?f=2
- https://newhostrcm.top/admin.php?f=2
這一次下載的就變成了 FakeGlobe。此變種所加密的檔案會多了一個「.911」副檔名,資料夾中也會多了一個「!SOS!.html」檔案,這是勒索訊息頁面。
幾小時後,不論參數值為何 (f=1 或 f=2),下載到的都是 Locky 勒索病毒,這樣的情況在其他垃圾郵件行動當中也是如此。隔天,不論參數值為何,下載到的全部都是 FakeGlobe勒索病毒。此外,我們也發現其支援網頁的名稱:support.php 和 admin.php 其實兩者通用。
解決方案與建議
這並非我們第一次看到同一網址所下載到的惡意程式會交互輪替。不過之前看到的大多數不同類型的惡意程式彼此輪替,例如:資料竊取程式和銀行木馬程式與勒索病毒輪替。但這次網路犯罪集團卻只是將勒索病毒種類加倍以增加其威力,這對使用者來說當然不妙。由於 Locky 和 FakeGlobe 會交替出現,因此受害者的檔案可能會被不同的勒索病毒重複加密了兩次。如此一來,受害者必須支付兩筆贖金,不然就只好忍痛看著資料永遠救不回來。
不過,儘管勒索病毒威脅目前仍不斷演變,但使用者和企業還是可以透過一些良好的習慣和最佳實務原則來提升自己對勒索病毒的防禦能力。
大型企業可循序漸進採用多層式的防禦來盡可能降低這類垃圾郵件的風險。趨勢科技 Hosted Email Security 是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。趨勢科技 Deep Discovery™ Email Inspectorr 和 InterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。此外,在端點裝置方面有趨勢科技 Smart Protection Suites 提供的高準度機器學習、行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊。
要對抗 Locky 和 FakeGlobe 勒索病毒的威脅,企業可採用趨勢科技Deep Security 來防止勒索病毒進入伺服器當中,不論是實體、虛擬或雲端內的伺服器。對於中小企業, Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護。其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。在一般使用者方面,趨勢科技 PC-cillin 2018 雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。
除此之外,使用者還有我們一些免費的工具可利用,例如:趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒,而 趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案,這樣您就不須支付贖金,也不需解密金鑰。
上述所有趨勢科技解決方案都是採用 Xgen™ 防護為基礎,融合了跨世代的威脅防禦技巧,以及環環相扣的威脅防禦,能讓您的企業防範看不見的威脅。
相關雜湊碼:
趨勢科技命名為 VBS_NEMUCOD.ELDSAUO 的 VBScript 檔案 (檔案下載器)
- 39256f126bba17770310c2115586b9f22b858cf15c43ab36bd7cfb18ad63a0c2
- a299f3de0c9277c0ce7dd3f7dc9aee57a7abe78b155919b1ecced1896c69653b
- 0f6ae637a9d15503a0af42be649388f01f8637ca16b15526e318a94b7f34bf6e
- 4d4a0e1d7218180452e22e6b52a7f9a0db1e0c0aa51a48f9a79c600b51030050
由 VBS 所下載、趨勢科技命名為 RANSOM_FAKEGLOBE.ASUUB 的 FAKEGLOBE勒索病毒
- bb1df4a93fc27c54c78f84323e0ea7bb2b54469893150e3ea991826c81b56f47
由 VBS 所下載、趨勢科技命名為 RANSOM_LOCKY.TH905 的 Locky 勒索病毒
- e75e5d374f20c386b1114252647cca7bd407190cafb26c6cfbd42c5f9223fe6c
趨勢科技命名為 W2KM_POWLOAD.AUSJST 的 DOC 檔案 (檔案下載器)
- 067eb2754a823953a6efa1dfe9353eeabf699f171d21ffbff8e2303f7f678139 detected as
- 6bdf46209fda582d7af5b74770b0eccf6abd3dbeabce3bdfb88db2f252ee778a
趨勢科技命名為 W2KM_POWLOAD.AUSJSP 的 DOC 檔案 (檔案下載器)
- efb154bccff1e9a0f090a6afd7a08bf2c1fffea745b575a0bf31f22998688973
由 DOC 所下載、趨勢科技命名為 RANSOM_LOCKY.TH908 的 LOCKY 勒索病毒
- 3cb4484976676ac043fae870addaa57e858c1286cdb17d01ef8c973c5ec5b015
由 DOC 所下載、趨勢科技命名為 RANSOM_FAKEGLOBE.ASUUG 的 FAKEGLOBE 勒索病毒
- 12e75bdbc3f0b489a89104c646aee10a71277c22b6abbc6e346d1ba6f17edf6d
原文出處:Locky Ransomware Pushed Alongside FakeGlobe in Upgraded Spam Campaigns 作者:Julie Cabuhat、Michael Casayuran 與 Anthony Melgarejo
