要當受害者還是業務夥伴?
這是加密勒索軟體 Chimera (Ransom_CRYPCHIM.A) 給您的難題。乍看之下,這個惡意程式如同一般典型的加密勒索軟體 Ransomware。然而,Chimera 在三方面有其獨特之處。
網路勒索
威脅將資料公開:Chimera 不僅將檔案加密,還會威脅受害人若不支付贖金就將檔案公布在網路上。這是我們第一次見到加密勒索軟體威脅要公開被加密的資料。
ng
圖 1:此惡意程式的勒索訊息有兩種版本:德文和英文。
當然,威脅將資料公開可以提高受害者付款的機率。畢竟,使用者只要有備份檔案就不怕資料被歹徒加密。但若資料遭到外流,恐怕就不是那麼容易解決。
根據趨勢科技分析顯示,儘管歹徒威脅將資料公開,但此惡意程式卻缺乏將檔案傳送至幕後操縱 (C&C) 伺服器的能力。它唯一傳送至 C&C 伺服器的資訊只有它產生的受害者識別碼 (ID)、比特幣(Bitcoin)位址和私密金鑰。
合作計畫
在勒索訊息當中,歹徒還對受害者提出了另一項提案。訊息的最下方邀請使用者加入他們的合作計畫,至於詳細內容,則記載在他們的原始程式碼當中。這項計畫很顯然是針對有技術背景的人。
圖 2:邀請受害者參加合作計畫。
趨勢科技解譯後的程式碼當中確實看到一個可讓有興趣的人和歹徒連絡的位址。這是一個比特幣位址,受害者可利用比特信 (Bitmessage) 來傳送點對點加密訊息給歹徒,此通訊協定可保障收發兩端的私密性。
圖 3:原始程式碼當中的訊息。
贖金支付
受害者該如何支付贖金給歹徒?
歹徒在勒索訊息當中指示受害者去下載一套解密軟體。下載之後,該軟體首先會搜尋系統上被加密的檔案和勒索訊息,以找出受害者的比特幣位址。
接著就會顯示付款指示訊息,如下所示:
圖 4:進一步的付款指示。
此外,解密軟體當中還包含了 BitMessage 比特信傳送軟體。一旦付款確認之後,歹徒就會發送一封內含受害者識別碼和解密金鑰的比特信,讓解密軟體用來確認受害者並進行解密作業。
勒索軟體服務 (Ransomware-as-a-Service,RaaS)
惡意程式作者竟然會敞開大門招募合作夥伴?這看來似乎有點違反常理。畢竟,誰會想要將利潤和別人分享?
不過,推銷勒索軟體 Ransomware服務 (RaaS) 確實有其效益。RaaS 可減少非法活動被人追蹤至源頭的可能性。此外,將勒索軟體 Ransomware當成服務來販售,勒索軟體的作者便不需冒著被追查的龐大風險,就能獲得一定的利潤。而且 Chimera 提供了 50% 的抽成,算是小小的付出就能獲得相當的報酬。
不過,若相較於其他勒索軟體 (如:CryptoWall 和 TeslaCrypt),我們發現 RaaS 並不夠精密。有時甚至連整個營運都還沒完全起步就已經遭到破獲。其程式碼缺乏任何編碼,因此研究和調查人員只需比對特殊字串就能偵測這類威脅。有些 RaaS 缺乏良好的 C&C 基礎架構或者並未善加利用 Tor2Web,僅靠著一個可下載的 Tor 執行檔來進行通訊。
是否該支付贖金?
Chimera 的手法對勒索軟體來說或許是新的花招,但仍不出我們對 2016 年的預測,也就是網路勒索必將崛起。我們提到,未來網路勒索集團將會想出更多新的方法來針對個別受害者的心理,讓每一次的攻擊變得更「個人化」,不論其目標是特定使用者或是某家企業。名譽就是一切,因此能夠威脅個人或企業名譽的攻擊,不但非常有效,而且最重要的,非常有利可圖。而將受害者的個人檔案公開在網路上,顯然是歸類在破壞個人名譽的手法當中。
或許,向歹徒妥協並支付贖金是較為容易的作法,但誰也無法保證網路犯罪集團會遵守約定。要確保自己不怕遇到勒索軟體,我們呼籲您應該謹守 3-2-1 原則來定期備份自己的檔案。
相關檔案雜湊值:
- 806a8b0edee835c0ff1bb566a3cb92586354fec9
- 8b91f3c4f721cb04cc4974fc91056f397ae78faa
- a039ae3f86f31a569966a94ad45dbe7e87f118ad
原文出處:Chimera Crypto-Ransomware Wants You [As the New Recruit])|作者:Anthony Joe Melgarejo (威脅回應工程師)
【延伸閱讀】
認識 Cryptolocker 等勒索軟體/病毒(綁架病毒) ,該如何預防?
一位公司員工在辦公室查看一下自己的信箱,看到一封看似重要訊息的郵件,因此就點了裡面的連結。隨即,畫面上閃爍著一段勒索訊息表示系統及系統上的所有檔案都已被鎖住。該員工必須在 72 小時之內支付贖金來解開這部電腦,不然檔案將永遠無法挽回。
PC-cillin 2016雲端版已有增加對勒贖軟體加密行為的防護機制,可預防檔案被勒索軟體惡意加密
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
