偷資料木馬變身勒索軟體

今年開始不久,趨勢科技注意到一個舊惡意軟體家族TSPY_USTEAL再度出現。這資料竊取惡意軟體現在加入了新功能,包括了惡意加殼(Packer)、加花(Obfuscation)以及加入勒索軟體 Ransomware

ransom 勒索軟體

TSPY_USTEAL變種早在2009年就開始出現,以會竊取敏感資料著稱,像是電腦詳細資訊和儲存在瀏覽器內的密碼。它可以作為植入程式,將它資源區段內的外掛程式或二進位檔案植入受害系統。偷來的資訊會儲存在一加密的.bin檔案,透過FTP上傳到C&C伺服器。這是以前變種的部分行為,新版本中也繼續保有。

我們最新所偵測到的變種是TSPY_USTEAL.USRJ,它會植入勒索軟體 Ransomware(偵測為TROJ_RANSOM.SMAR)到受害系統上。這些勒索軟體是由一新工具包產生器所生成,讓攻擊者可以完全控制勒索軟體 Ransomware的行為,包括它所加密的檔案類型到顯示的勒贖說明。

我們將這工具包偵測為TROJ_TOOLKIT.WRN。下面是譯自俄文的英文功能說明。包括加密的檔案類型、勒贖說明、附加到加密檔案的副檔名以及所植入編碼程式的名稱。

圖一、勒索工具包的英文說明

勒索軟體 – TROJ_RANSOM.SMAR會將自身副本植入到使用者電腦中。然後用相同圖示和副檔名來加密特定檔案。例如,它可以將副檔名.EnCiPhErEd加到選定的檔案格式,像是.LNK,.ZIP等,就像是記號一般。它接著會植入一內含勒贖細節的圖檔。

 

圖二、勒贖說明

 

當加密檔案被存取,它會顯示勒贖說明加上取回密碼的聯絡方式。取回方式可能是透過簡訊或電子郵件。它接著會出現一要求輸入密碼的訊息。如果輸入正確密碼,就會解密並將加密檔案回復到原本格式。然後勒索軟體 Ransomware體就會刪除自己。但如果輸入不正確的密碼,而且嘗試次數達到原先預定的極限值,它會顯示以下錯誤訊息。接著會尋找檔案來加密(除了已經加密的檔案),再刪除自己。

 

圖三、錯誤訊息

 

這種威脅組合實在令人憂心,因為在惡意軟體竊取身份憑證和資料的同時,勒索軟體 Ransomware也會透過加密檔案來從受害者身上索取更多金錢時。惡意軟體作者很可能會想要繼續去榨乾受害者,想辦法從同一受害者身上取得更多金錢。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的回饋資料顯示,四月中有一波TROJ_RANSOM.SMAR的高峰出現,主要影響在美國。趨勢科技可以保護使用者對抗此攻擊的各種相關威脅。

@原文出處:Old Infostealer Resurfaces, Now Delivers Ransomware作者:Paul Pajares(詐騙分析師)