最近一次打擊網路犯罪的勝利是中斷了GAMEOVER ZeuS殭屍網路活動。其中最明顯的或許是讓另一重大威脅也受到影響 – 惡名遠播的CryptoLocker惡意軟體。
然而,這次中斷並沒有阻止使用檔案加密勒索軟體 Ransomware的網路犯罪分子。事實上,趨勢科技看到使用新加密和迴避方法的新加密勒索軟體 Ransomware變種出現。
Cryptoblocker和它的加密技術
跟其他勒索軟體 Ransomware變種一樣,這被偵測為TROJ_CRYPTFILE.SM的Cryptoblocker惡意軟體會加密一定數量的檔案。不過這變種有一定的限制。首先,它不會感染大於100MB大小的檔案。此外,它也會跳過資料夾C:\\WINDOWS,C:\\PROGRAM FILES和C:\PROGRAM FILES (X86)內的檔案。
不像其勒索軟體 Ransomware變種,Cryptoblocker不會產生任何文字檔來指示受害者如何解密檔案。相對地,它會顯示下面的對話框。輸入交易ID到文字框內會產生一個訊息,說明「交易已被發送,很快就會得到驗證。」
圖1、對話框
另一個分別是它的加密方式。該惡意軟體不使用CryptoAPIs,這其他勒索軟體 Ransomware明顯不同。CryptoAPIs是用來製造RSA金鑰,這個惡意軟體並沒有使用它。這一點很有趣,因為RSA金鑰會讓解密檔案更加困難。相對地,我們在這惡意軟體程式碼中發現進階加密標準(AES)。
仔細一看還發現,解開程式碼時還會發現編譯註解。這相當有趣,因為編譯註解通常會被刪除。因為這些資料可以被安全研究人員用來偵測(進而封鎖)來自該惡意軟體作者的檔案。出現編譯註解也表示Cryptoblocker背後的壞傢伙可能是勒索軟體的新手。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,美國是受影響最大的國家,其次是法國和日本。加上西班牙和義大利就是前五名受影響的國家。 繼續閱讀