透過可移除媒體散播的新CryptoLocker 勒索軟體

還記得 2013 年轟動一時的 史上最狠毒勒索軟體CryptoLocker嗎?趨勢科技一隻勒索軟體變種,它有一個明顯的特徵 – 具備散播的行為。經過分析這隻被偵測為WORM_CRILOCK.A的惡意軟體,結果顯示這惡意軟體可以透過可移除媒體散播。此更新被認為值得注意,因為在其他CRILOCK變種並沒有看過這樣的行為。增加散播行為也代表它和其他已知的CRILOCK變種不同,可以很容易地傳播。

除了散播的技術之外,這隻新惡意軟體還有許多和已知CryptoLocker變種不同的地方。並沒有依賴惡意下載程式(通常是UPATRE)來感染系統,該惡意軟體會在P2P檔案分享網站上偽裝成各種軟體的啟動器,像是Adobe的Photoshop和微軟的Office。將惡意軟體上傳到P2P網站可以讓壞人輕易地去感染系統,而無需製造(和發送)垃圾郵件。

ransom 勒索軟體

進一步分析WORM_CRILOCK之後發現,它和之前的變種有著鮮明的差異。該惡意軟體沒有用網域生成演算法(DGA)。相反地,它的命令與控制(C&C)伺服器被寫死在惡意軟體裡。寫死的網址讓相關惡意網址更容易被偵測和封鎖。而另一方面,DGA讓網路犯罪分子可以逃避偵測,因為它使用大量潛在網域。這可能代表這隻惡意軟體還處在修改跟改善階段。因此,我們可以預期後期變種有DGA的能力。

這隻特殊的CRILOCK變種和其他變種之間的差異讓一些研究人員認為,該惡意軟體是個山寨產品。不管創造者是誰,WORM_CRILOCK.A顯示這可能成為網路犯罪分子青睞的新攻擊方法。

使用者應該避免透過P2P網站來下載軟體。應該要從官方或有信譽的網站上取得。有鑑於WORM_CRILOCK可以透過可移除媒體來散播,使用者在使用拇指碟或類似產品時要格外小心。使用者不該將自己的外接磁碟插入不熟悉或未知的電腦。我們的部落格文章 – 「對抗CryptoLocker」,討論了許多保護電腦和網路,對抗惡意軟體CryptoLocker的方法。

趨勢科技透過AEGIS(行為監控)技術來偵測和封鎖所有相關惡意軟體的威脅。想瞭解更多關於勒索軟體的資訊,你可以訪問這個網頁。你也可以參考我們常見問題網頁上關於Cryptolocker的項目,來獲得對此惡意軟體更加全面的看法。

@原文出處:New CryptoLocker Spreads via Removable Drives作者:Abigail Pichel(技術交流)