好黑心! 新勒索病毒 BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為

趨勢科技最近發現了一隻新的勒索病毒（偵測為RANSOM_BLACKHEART.THDBCAH），它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。

但在本案例中，RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起，而非是利用AnyDesk來進行散播。

 

使用者有可能在瀏覽惡意網站時不自覺地下載了 RANSOM_BLACKHEART 勒索病毒

雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知，但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。

一旦下載完成，RANSOM_BLACKHEART會產生並執行兩個檔案：

• %User Temp%\ANYDESK.exe
• %User Temp%\BLACKROUTER.exe
• 

圖1、RANSOM_BLACKHEART產生的檔案

 

如前所述，第一個檔案包含了 AnyDesk，這是個功能強大的應用程式，可以在不同桌面作業系統（包括Windows、MacOS、Linux和FreeBSD）間進行雙向遠端控制，並且可以在Android和iOS上進行單向存取。此外，它還可以傳輸檔案，提供聊天客戶端及記錄連線內容。要注意的是，攻擊者所用的是舊版AnyDesk而非目前的版本。

圖2、我們所分析樣本所帶的 AnyDesk使用者介面

它還會利用以下程序來刪除陰影複製：

• “cmd.exe” /c vssadmin.exe delete shadows /all /quiet

 

第二個檔案是實際的勒索病毒。根據分析可以確認這是種相當典型的勒索病毒，它的行為之一是加密使用各種副檔名的檔案。完整列表如下：

·         .dbf ·         .doc ·         .docx ·         .dt ·         .dwg ·         .efd ·         .elf ·         .epf ·         .erf ·         .exe ·         .geo

·         .gif ·         .grs ·         .html ·         .ini ·         .jpeg ·         .jpg ·         .lgf ·         .lgp ·         .log ·         .mdb

·         .mft ·         .mkv ·         .mp3 ·         .mp4 ·         .mxl ·         .odt ·         .pdf ·         .pff ·         .php ·         .png ·         .ppt

·         .pptx ·         .psd ·         .rar ·         .rtf ·         .sln ·         .sql ·         .sqlite ·         .st ·         .tiff ·         .txt ·         .vrp

·         .webmp ·         .wmv ·         .xls ·         .xlsx ·         .xml ·         .zip ·         1cd

 

它會在下列資料夾搜尋並加密使用上述副檔名的檔案：

• %Desktop%
• %Application Data%
• %AppDataLocal%
• %Program Data%
• %User Profile%
• %System Root%\Users\All Users
• %System Root%\Users\Default
• %System Root%\Users\Public
• All Drives except for %System Root%

要求50美元或0.006164比特幣提供解密

一旦它找到並加密了一個檔案，就會將檔案加上.BlackRouter副檔名。當它完成加密動作，RANSOM_BLACKHEART會將勒贖通知產生到下列位置，在內文裡要求了50美元或0.006164比特幣來提供解密：

• {All Drives}:\ReadME-BlackRouter.txt
• %Desktop%\ReadME-BlackRouter.txt
• 

圖3、勒贖通知的螢幕截圖

 

我們認為將AnyDesk跟勒索病毒綑綁在一起可能是種躲避偵測的策略。一旦下載了RANSOM_BLACKHEART，AnyDesk就會在中毒電腦的背景執行 – 用來掩飾勒索病毒進行加密的真正目的。當Teamviewer開發者已經認知到自己的軟體遭受濫用，而且在工具中加上了防惡意軟體保護,網路犯罪分子可能在嘗試將AnyDesk作為替代方案。

請注意，我們還發現另外一個非常類似的惡意樣本，但它是跟鍵盤側錄程式（偵測為TSPY_KEYLOGGER.THDBEAH）綑綁在一起，而不是勒索病毒。

AnyDesk已經知道這勒索病毒的存在，並表示將會討論可能採取的措施。

 

趨勢科技解決方案

趨勢科技的 XGen™ 防護提供跨世代的混合威脅防禦技術，可抵禦資料中心、雲端環境、網路和端點所面臨的各類威脅。它具備高保真機器學習功能來保護閘道和端點資料及應用程式，並保護實體、虛擬和雲端的工作機。使用網頁/網址過濾、行為分析和客製化沙盒等功能，讓XGen能夠抵禦今日特製來繞過傳統安全防護的惡意威脅，針對已知、未知或未披露的漏洞攻擊，或是竊取/加密個人的身份資料。智慧化、最佳化以及互相連結，XGen技術驅動趨勢科技一系列的安全解決方案：Hybrid Cloud Security，User Protection和Network Defense。

 

RANSOM_BLACKHEART.THDBCAH的檔案雜湊值：

• a85173ef5572f316df839e63b4e1526e97e5f123ae73f898b872baa6a5a9711f

 

@原文出處：Legitimate Application AnyDesk Bundled with New Ransomware Variant

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

 

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。