過去幾週裡,我們看到了勒索軟體CryptoLocker對許多使用者來說成為了一個重大的威脅。我們對於這威脅的監測已經揭露出它是如何散播,特別是它和垃圾郵件與ZeuS的關連。然而,這威脅出現的背後看來有比一開始所發現還要多的故事。
我們發現一個它如此增長的可能因素:黑洞漏洞攻擊包作者Paunch被逮捕。Paunch被逮捕導致使用這漏洞攻擊包的垃圾郵件攻擊活動大量地減少。明顯地,這樣會造成垃圾郵件發送的中空期,但垃圾郵件發送者不會突然就停止發送垃圾郵件。因此,他們需要一些替代品,那會是什麼?
其中一個替代品就是UPATRE。我們發現主要發送黑洞漏洞垃圾郵件的Cutwail 殭屍網路開始在十月左右夾帶UPATRE(最終會導致CryptoLocker),也就是Paunch被逮捕的當月。事實上,我們已經監測到多個IP地址和這轉移有關連 – 在作者被逮前寄送黑洞漏洞垃圾郵件,被逮後發送 CryptoLocker垃圾郵件。 繼續閱讀
過去的幾個星期以來,我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比,十月份可以確認的案例數量已經增加了幾乎兩倍。
CryptoLocker的受害者在不同地區都有出現,包括北美、歐洲、中東和亞太地區。在之前,我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅(勒索軟體)的進化。這樣的「改進」是趨勢科技在2013年安全預測裡所提過的,網路犯罪分子會將重點放在改進現有的工具,而非創造全新的威脅。
我能做些什麼?
有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE(下載器),它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌,以及使用者如何去回應它。
讓我們從簡單的電腦安全實作開始(往往也最常被忽視)。想想看,當開啟帶有附件的郵件時,一般都要:
對於企業客戶,檢討有關電子郵件附件的相關政策。通過電子郵件發送可執行檔通常被認為是不好的行為。大多數組織也有嚴格的附件封鎖政策 – 如果你還沒有,現在是個很好的時機來考慮建立一個。
將設備設定為特定用途也是另一種減少感染Cryptolocker機會的作法。例如,如果使用者只需要使用Microsoft Word,那麼系統上具備有限權限的使用者帳號也就足夠。大多數企業可能已經有這樣的做法,但還可以用軟體白名單來加強,並且配合使用Windows的某些功能,像是AppLocker。
為了補強組織的整體安全策略。使用者所需要的安全解決方案不僅是保護用戶於執行惡意檔案,還可以在惡意軟體到達你的系統前提供保護。
趨勢科技的電子郵件信譽評比服務可以阻止這些包含惡意附件的垃圾郵件。具體地說,真實檔案類型過濾功能可以在電子郵件附件有可能是惡意時提醒使用者:
此外,趨勢科技的網頁信譽評比服務也會封鎖所有相關網址。安全解決方案的組合再加上確認允許執行的應用程式列表,讓電腦被攻擊的表面積大為減少。
結論
雖然沒有具備任何新的做法,CryptoLocker已經將之前勒索軟體 Ransomware和假防毒軟體所用的恐嚇戰術有效地運用到新的境界。今日大多數使用者都依賴於良好的防毒軟體,但重要的是要注意,使用者教育、定期軟體更新、嚴格的電腦使用政策都是在防禦CryptoLocker和類似威脅上至關重要的。
由於現在的網路犯罪分子都會加強惡意軟體,電腦系統也必須同樣地加以強化以防禦這些攻擊。解決惡意軟體感染的全面性作法不僅是要降低感染率,還要提供深入的防禦戰略來涵蓋多層面的攻擊,以幫助打破惡意軟體感染鏈的整個週期。
使用OfficeScan(OSCE)和Worry-Free Business Security/Service(WFBS/WFBS-SVC)的趨勢科技用戶可以遵循這些最佳實作以防止勒索軟體感染。
@原文出處:Defending Against CryptoLocker作者:Jay Yaneza(技術支援)
◎延伸閱讀
史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式
勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。
Crypto Locker:最新一波的勒索軟體
除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware。
之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。
但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。
如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。
如何保持低調,SHOTODOR風格
另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀
最近有許多使用者感染新的勒贖軟體病毒,遭到該病毒感染後,作業系統中有多種檔案會被加密,遭到感染的使用者需要支付$300美金或歐元「贖款」獲取金鑰才能將檔案解密。受害者會看到以下視窗:
甚至連桌面也會被鎖定而造成無法使用電腦(如下圖)
散播管道:
此勒贖軟體可能通過聊天工具、電子郵件、惡意網站散播,或由其他病毒釋放而來。
病毒行為:
1. 將自己複製後置放到下列目錄下:
%Application Data%\{隨機字母的檔案名稱}.exe
(注意: %Application Data% 是目前用戶的Application Data資料夾,在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data,在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。
2. 避免自己重複執行。
3. 會在機碼中添加自動啟動項目。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = “%Application Data%\{隨機檔案名稱}.exe”。
4. 會新增以下登錄值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
其中子目錄「Files」中列出的是已被加密的檔案列表
5. 該病毒會連接以下網域以獲取加密的金鑰:
gktibioivpqbot.net
mlernipmrlrnjj.com
lnjaadfliwshke.info
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz
這些網域中任意個可連接的網址最終會指向IP位址 93.189.44.187 的伺服器。。
6. 在獲取加密金鑰後以下類型檔案將被加密:
*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2 *.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx
7. 勒索者接受以下付款方式:
Bitcoin
cashU
MoneyPak
Ukash
防護措施:
1. 從閘道處阻止連接惡意網址(上述第五項中之網域及IP);
2. 保持防毒軟體病毒碼更新至最新;
3. 請勿隨意點閱來源不明的郵件附件;
4. 請勿隨意接收並執行聊天工具中發送的檔案(包括圖片檔或office檔案);
5. 請勿隨意瀏覽未知的國外網站,尤其是情色網站或多媒體下載網站;
6. 請定期備份重要檔案。 繼續閱讀
有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者:確保從可靠的來源下載,不然就可能會面臨被惡意軟體感染的後果。
Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞(CVE-2012-3174)的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而,趨勢科技也看到有惡意軟體隱藏在Java更新背後。
有惡意軟體會偽裝成Java Update 11,這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案,其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe(這兩個檔案都被偵測為BKDR_ANDROM.NTW)。一旦執行,這個後門程式會連到遠端伺服器,讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。
JAVA_DLOADER.NTW 會下載並執行Up1.exe(BKDR_ANDROM.NTW)和Up2.exe(TSPY_KEYLOG.NTW)。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析,這個勒索軟體 Ransomware會鎖定使用者螢幕,並且嘗試連上特定網站以顯示警告訊息給使用者。