勒索軟體瞄準比特幣!!

勒索軟體和比特幣竊盜程式合併成 BitCrypt

CryptoLocker和其他類似的 勒索軟體 Ransomware威脅已經是個嚴重問題好一段日子了,但最近我們看到一個新的 勒索軟體 Ransomware手法。此一新威脅自稱為BitCrypt,為勒索軟體加入一個獨特的作法:它會從各種電子貨幣錢包內偷錢。

比特幣ˇ bitcoin1

趨勢科技已經確認了此威脅的兩個不同變種。第一個變種 – TROJ_CRIBIT.A,會將任何加密過的檔案加上副檔名「.bitcrypt」,並使用英文勒索信。第二個變種 – TROJ_CRIBIT.B,會加上副檔名「.bitcrypt2」,並使用含中文在內的多國語言的勒索信,包括了以下10種語言;(根據它們出現在信內的順序):

 

  • 英文
  • 法文
  • 德文
  • 俄文
  • 義大利文
  • 西班牙文
  • 葡萄牙文
  • 日文
  • 中文
  • 阿拉伯文

勒索信內容如下:

意!

 你的BitCrypt ID:{交易編號}

 你電腦上所有的必要檔案(照片、文件、資料庫和其他)都透過唯一的RSA-1024金鑰加密。

只有透過一個特殊程式才能解碼你的檔案,而且每個BitCrypt ID都對應一個程式。

來自電腦維修服務和防毒實驗室的專家並無法幫助你。

為了收到這解密程式,你需要遵照此連結{惡意網站#1}和跟隨指示。

 

如果現有連結無法作用,但是你需要回復檔案,請按指示操作:

  1. 嘗試打開連結{惡意網站#2}。如果失敗,繼續執行步驟2。
  2. 下載並安裝Tor瀏覽器{Tor專案網站}
  3. 安裝完成後,啟動Tor瀏覽器,連上下列網址{惡意網站#3}

 

記住,你越快採取行動,越有機會去完好如初地回復你的檔案。

 

其他語言的內容都很類似,雖然看起來是用電腦翻譯的。除了上述情況外,TROJ_CRIBIT.B會將桌布變成黑色背景加上白色文字來通知使用者目前狀況。

勒索軟體瞄準比特幣!!

圖一、桌布

為了讓分析更加困難,這勒索軟體 Ransomware不會在系統內留下自身的副本,所以很難取得樣本來研究行為並確定其感染媒介。

經過進一步的調查,我們發現一個FAREIT資料竊取惡意軟體變種TSPY_FAREIT.BB,它會下載TROJ_CRIBIT.B。這變種還具備能夠從多種比特幣錢包竊取資料的能力。它會搜尋並嘗試從下列檔案中擷取資料:

  • wallet.dat(Bitcoin)
  • electrum.dat(Electrum)
  • .wallet(MultiBit)

跟CryptoLocker一樣,使用者會被導到一個看來專業的網站來解鎖他們的檔案。該網站實際上是深層網路的一部份,只能夠透過Tor來連上,但攻擊者已經考慮周到的提供連結到Tor2Web,這是一個讓使用者可以無須使用Tor就能連上深層網路網站的服務。他們被要求輸入在勒索信中所提供的BitCrypt ID。

勒索軟體瞄準比特幣!!

圖二、BitCrypt的ID登入

登入之後,使用者被導到BitCrypt網頁(它將自己描述為Bitcrypt軟體公司),提供了使用者如何回復資料的說明。然而,這需要支付0.4比特幣。現在的價值約等於240美元。網路犯罪分子甚至還在其網站上包含常見問答頁面,如下圖所示:

勒索軟體瞄準比特幣!!

 

 

圖三、BitCrypt常見問答

 

來自趨勢科技主動式雲端截毒服務  Smart Protection Network的資料顯示出有40%的CRIBIT受害者來自美國,另外有11%來自日本。

 

BitCrypt只是我們最近所看到許多Bitcoin相關威脅中最新的一個。雖然比特幣的價值已經從去年年底的頂峰下降了,但它的價值還是足夠大到值得去作為竊取的目標 – 無論是利用Bitcoin竊取惡意軟體的形式(像BitCrypt),或是更大的攻擊形式,將目標放在交易所(像是Mt. GoxVircurex)。

 

@原文出處:Ransomware and Bitcoin Theft Combine in BitCrypt作者:Rhena Inocencio(威脅反應工程師)

 

免費下載 防毒軟體 PC-cillin 試用版下載