CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。
趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。
利用趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):
圖一、帶有惡意附件的垃圾郵件截圖
一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。
圖二、CryptoLocker感染途徑
有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。
關於CryptoLocker加密的注意事項
雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。
RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。
這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。
關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。
圖三、加密檔案列表可以在系統註冊表內看到
趨勢科技關於CryptoLocker的解決方案
趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。
圖四、趨勢科技偵測相關的惡意軟體
對使用者來說,小心打開任何未知來源電子郵件內的附加檔案也十分重要。趨勢科技
現有的電子郵件信譽評比服務也能封鎖跟此威脅相關的垃圾郵件。
◎原文出處:CryptoLocker: Its Spam and ZeuS/ZBOT Connection
作者:Kervin Alintanahin(威脅分析師)
◎延伸閱讀
- 史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式
- 警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金
- 警方:你因觸犯法規電腦遭鎖定,必須支付罰款才能解除鎖定~警察勒索程式,假警察真詐財
- 勒索軟體拿MBR當人質
- 《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭
- 假冒執法警察的勒索攻擊持續蔓延在歐洲
- Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體
- 專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」
- 趨勢科技協助 FBI 破獲史上最大殭屍網路始末: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得
- 還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
- PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用