趨勢科技最近報導了 EMEA(歐洲、中東和非洲)地區出現 勒索軟體 Ransomware大量激增,特別是 加密勒索軟體 攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示,紐澳地區最近也受到此類惡意軟體的影響,這次是TorrentLocker勒索軟體。
感染鏈
圖一、紐澳地區攻擊的感染鏈圖解
這惡意軟體透過電子郵件到達,偽裝成來自新南威爾士州政府(在此篇裡簡稱為NSW)的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁,使用類似官方名稱的新註冊網域。
這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確,就會下載來自檔案代管網站(SendSpace)的壓縮格式惡意檔案。
一旦使用者打開壓縮檔並執行惡意程式,它會連到指揮和控制(C&C)伺服器。收發資訊成功後,惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案,並且加上.encrypted副檔名。接著,它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製(Shadow Copy),防止使用者從備份回復檔案。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,有98.28%的收件者來自澳洲。
比特幣付款
為了支付贖金,使用者需要註冊一個比特幣(Bitcoin)錢包和從建議連結購買比特幣。一旦完成付款,網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址,他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦;每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。
受此惡意軟體感染的使用者被分配如下格式的代碼:
- hxxp[:]//{gibberish}.gate2tor.org/buy.php?user_code={xxxxxxx}
直到12月9日,垃圾郵件發送者將密碼加入這個樣本格式:
- hxxp[:]//r2bv3u64ytfi2ssf.way2tor.org/buy.php?user_code={xxxxx}&user_pass={xxxx}
這些網址只能透過Tor網路連上,因為其網站使用TOR2Web網路代理。使用TOR2Web,使用者就不需要安裝Tor瀏覽器來進行付款。TOR匿名網路是用來隱藏網路流量。在此案例中,其主要目的是要當使用者付費後用來隱藏解密檔案的資料。
勒贖頁面會警告贖金將會在4天或96小時後加倍。在澳洲,贖金價格是598澳幣。但如果使用者不是位於紐澳或EMEA地區,會出現以英文寫成的通用網頁來要求美金計價的贖金。
圖二、澳洲(上),西班牙(中)和非紐澳/EMEA國家(下)的勒贖訊息
