趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加,特別是英國和土耳其。從5月上旬到6月10日,TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期(6月10日至6月28日),我們看到這種威脅再次出現。
在2014年底, TorrentLocker勒索軟體 Ransomware在義大利傳出疫情。澳洲也曾是這些攻擊的主要目標(雖然其他國家也有受到影響),但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業(如英國天然氣)和政府機構(如內政部或司法部)。
這會導致連到這些單位的假網站,要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上;這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下:
圖1、假的英國天然氣公司網站
圖2、假的英國內政部網站
其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱,還有電信公司(已知的例子包括SDA Express、Pozcta、Correo和Turkcell)。對澳洲使用者的攻擊已經變平靜,使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務(如澳洲的Couriers Please和Pack & Send)也遭到利用。
這些檔案所放置的地方也有所改變:之前它們放在檔案儲存網站,像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall(另一個加密勒索軟體家族)現在主要是透過Google Drive下載。
我們在六月看到所下載的檔案名稱(和使用的社交工程(social engineering )誘餌)列在下表中: