勒索軟體和比特幣竊盜程式合併成 BitCrypt
CryptoLocker和其他類似的 勒索軟體 Ransomware威脅已經是個嚴重問題好一段日子了,但最近我們看到一個新的 勒索軟體 Ransomware手法。此一新威脅自稱為BitCrypt,為勒索軟體加入一個獨特的作法:它會從各種電子貨幣錢包內偷錢。
趨勢科技已經確認了此威脅的兩個不同變種。第一個變種 – TROJ_CRIBIT.A,會將任何加密過的檔案加上副檔名「.bitcrypt」,並使用英文勒索信。第二個變種 – TROJ_CRIBIT.B,會加上副檔名「.bitcrypt2」,並使用含中文在內的多國語言的勒索信,包括了以下10種語言;(根據它們出現在信內的順序):
- 英文
- 法文
- 德文
- 俄文
- 義大利文
- 西班牙文
- 葡萄牙文
- 日文
- 中文
- 阿拉伯文
勒索信內容如下:
注意!
你的BitCrypt ID:{交易編號}
你電腦上所有的必要檔案(照片、文件、資料庫和其他)都透過唯一的RSA-1024金鑰加密。
只有透過一個特殊程式才能解碼你的檔案,而且每個BitCrypt ID都對應一個程式。
來自電腦維修服務和防毒實驗室的專家並無法幫助你。
為了收到這解密程式,你需要遵照此連結{惡意網站#1}和跟隨指示。
如果現有連結無法作用,但是你需要回復檔案,請按指示操作:
- 嘗試打開連結{惡意網站#2}。如果失敗,繼續執行步驟2。
- 下載並安裝Tor瀏覽器{Tor專案網站}
- 安裝完成後,啟動Tor瀏覽器,連上下列網址{惡意網站#3}
記住,你越快採取行動,越有機會去完好如初地回復你的檔案。
其他語言的內容都很類似,雖然看起來是用電腦翻譯的。除了上述情況外,TROJ_CRIBIT.B會將桌布變成黑色背景加上白色文字來通知使用者目前狀況。
圖一、桌布
為了讓分析更加困難,這勒索軟體 Ransomware不會在系統內留下自身的副本,所以很難取得樣本來研究行為並確定其感染媒介。
經過進一步的調查,我們發現一個FAREIT資料竊取惡意軟體變種 – TSPY_FAREIT.BB,它會下載TROJ_CRIBIT.B。這變種還具備能夠從多種比特幣錢包竊取資料的能力。它會搜尋並嘗試從下列檔案中擷取資料:
- wallet.dat(Bitcoin)
- electrum.dat(Electrum)
- .wallet(MultiBit)
跟CryptoLocker一樣,使用者會被導到一個看來專業的網站來解鎖他們的檔案。該網站實際上是深層網路的一部份,只能夠透過Tor來連上,但攻擊者已經考慮周到的提供連結到Tor2Web,這是一個讓使用者可以無須使用Tor就能連上深層網路網站的服務。他們被要求輸入在勒索信中所提供的BitCrypt ID。
圖二、BitCrypt的ID登入
登入之後,使用者被導到BitCrypt網頁(它將自己描述為Bitcrypt軟體公司),提供了使用者如何回復資料的說明。然而,這需要支付0.4比特幣。現在的價值約等於240美元。網路犯罪分子甚至還在其網站上包含常見問答頁面,如下圖所示:
圖三、BitCrypt常見問答
來自趨勢科技主動式雲端截毒服務 Smart Protection Network的資料顯示出有40%的CRIBIT受害者來自美國,另外有11%來自日本。
BitCrypt只是我們最近所看到許多Bitcoin相關威脅中最新的一個。雖然比特幣的價值已經從去年年底的頂峰下降了,但它的價值還是足夠大到值得去作為竊取的目標 – 無論是利用Bitcoin竊取惡意軟體的形式(像BitCrypt),或是更大的攻擊形式,將目標放在交易所(像是Mt. Gox和Vircurex)。
@原文出處:Ransomware and Bitcoin Theft Combine in BitCrypt作者:Rhena Inocencio(威脅反應工程師)