趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰,並且維持這樣的水平,但是隨著時間的變遷,攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動,驗證了這樣的預測,藉由更多開創性的手法提高了賭金。實際的案例如下:我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH),他同時具備了殭屍網路(botnet)與勒索病毒的能力,許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦,受感染的電腦會成為垃圾郵件殭屍網路的一員,並發送勒索病毒給更多受害者。由目前的資訊看來,Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。
感染鍊
Viro 殭屍網路病毒於2017年9月17日首次曝光,就在我們分析了一個模仿Locky勒索病毒的變種勒索病毒7天後。當 Viro 殭屍網路病毒下載到電腦上並且執行之後,它會檢查機碼值是否存在(電腦GUID以及產品金鑰),依此判斷這個系統是否應被加密。
圖1. Viro 殭屍網路病毒查詢機碼以檢查特定的機碼值是否存在。
若特定的機碼存在,這個勒索病毒就會透過隨機數字產生器建立加密金鑰以及解密金鑰。Viro 殭屍網路病毒會開始利用POST指令將電腦上收集的資訊以及產生的金鑰送到C&C伺服器上。完成之後就會開始執行加密的處理程序。下列類型的檔案會被利用RSA加密演算法的勒索病毒加密。
圖2. 顯示勒索病毒加密的程式碼片段
在完成加密動作之後,它會顯示一個勒索訊息以及勒索畫面。有趣的是,儘管目前這個勒索病毒影響僅在美國傳出災情,但是勒索訊息卻是以法文撰寫。
圖3以及圖4. 勒索畫面(上圖)以及勒索訊息(下圖)。由法文所撰寫的內容為“Vos fichiers personnels ont été chiffré,”,意思是”你的個人檔案已經被加密了”
Viro殭屍網路病毒也同是具備鍵盤側錄的功能,並將受感染電腦上所側錄的資訊送回C&C伺服器。當它連上C&C伺服器之後,會下載其他惡意檔案,這些檔案會透過PowerShell執行。
圖5. 顯示Viro殭屍網路病毒的鍵盤側錄程式碼片段。
它具有明顯的殭屍網路病毒行為,因為它會利用受感染電腦上的Microsoft Outlook寄發垃圾信件給受害者的聯絡人。並附上病毒自身檔案或是從C&C伺服器下載的惡意程式。
圖6與7. Viro殭屍網路病毒利用Microsoft Outlook進行擴散的程式碼片段。
這個勒索病毒必須與它的C&C 伺服器建立通訊連線之後才會執行檔案加密動作,在此文章寫作時,已經無法執行加密動作,因為Viro殭屍網路的C&C伺服器已經被關閉。
趨勢科技勒索病毒的解決方案
不論個人用戶或是企業都應該採用多層次的防護機制以降低遭遇這類勒索病毒的風險。
採用Email及Web閘道防護方案例如 趨勢科技 Deep Discovery™ Email Inspector 以及InterScan™ Web Security 可以預防使用者接觸到勒索病毒。在端點上, 趨勢科技 Smart Protection Suites提供多項防護能力,例如高準度機器機器學習,行為監控,應用程式控制以及虛擬補丁等,可以有效降低遭遇這些威脅時的影響。進階威脅防護可以偵測並阻擋勒索病毒的網路行為。 趨勢科技Deep Security可以防止勒索病毒進入企業用戶的重要伺服器,無論是實體機器,虛擬機器或是雲端。
對中小企業來說, Worry-Free Services Advanced透過Hosted Email Security提供cloud-base的email閘道安全防護。而端點防護上亦具備多項的防護能力,例如行為監控,網頁信譽評等服務等可以有效攔阻勒索病毒。
針對一般家庭用戶 趨勢科技PC-cillin雲端版提供強力且有效的防護能力以對抗勒索病毒,阻擋跟病毒相關的惡意網站,郵件及檔案。
免費勒索病毒防護工具可以針對部分的勒索病毒加密檔案進行解密,不須付贖金取得解密金鑰。
若需要更詳盡的趨勢科技偵測技術以及解決方案,例如Trend Micro Deep Security, Vulnerability Protection, TippingPoint, 以及 Deep Discovery Inspector 可以到 企業用戶技術支援專區取得進一步資訊.
入侵指標(IOCs)
偵測到RANSOM_VIBOROT.THIAHAH (SHA256)的雜湊值(hash):
911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b
相關的惡意連結(URLs):
hxxps://viro(.)mleydier(.)fr
hxxps://viro(.)mleydier(.)fr/noauth/order/
hxxps://viro(.)mleydier(.)fr/noauth/keys/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/
◎原文來源: Virobot Ransomware with Botnet Capability Breaks Through