還記得 2013 年轟動一時的 史上最狠毒勒索軟體CryptoLocker嗎?趨勢科技一隻勒索軟體變種,它有一個明顯的特徵 – 具備散播的行為。經過分析這隻被偵測為WORM_CRILOCK.A的惡意軟體,結果顯示這惡意軟體可以透過可移除媒體散播。此更新被認為值得注意,因為在其他CRILOCK變種並沒有看過這樣的行為。增加散播行為也代表它和其他已知的CRILOCK變種不同,可以很容易地傳播。
除了散播的技術之外,這隻新惡意軟體還有許多和已知CryptoLocker變種不同的地方。並沒有依賴惡意下載程式(通常是UPATRE)來感染系統,該惡意軟體會在P2P檔案分享網站上偽裝成各種軟體的啟動器,像是Adobe的Photoshop和微軟的Office。將惡意軟體上傳到P2P網站可以讓壞人輕易地去感染系統,而無需製造(和發送)垃圾郵件。
進一步分析WORM_CRILOCK之後發現,它和之前的變種有著鮮明的差異。該惡意軟體沒有用網域生成演算法(DGA)。相反地,它的命令與控制(C&C)伺服器被寫死在惡意軟體裡。寫死的網址讓相關惡意網址更容易被偵測和封鎖。而另一方面,DGA讓網路犯罪分子可以逃避偵測,因為它使用大量潛在網域。這可能代表這隻惡意軟體還處在修改跟改善階段。因此,我們可以預期後期變種有DGA的能力。
這隻特殊的CRILOCK變種和其他變種之間的差異讓一些研究人員認為,該惡意軟體是個山寨產品。不管創造者是誰,WORM_CRILOCK.A顯示這可能成為網路犯罪分子青睞的新攻擊方法。
