分類: 勒索病毒 ransomware /勒索軟體

勒索軟體CryptoLocker,攻擊個案翻兩倍

趨勢科技 TrendMicro

過去的幾個星期以來,我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比,十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現,包括北美、歐洲、中東和亞太地區。在之前,我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅(勒索軟體)的進化。這樣的「改進」是趨勢科技2013年安全預測裡所提過的,網路犯罪分子會將重點放在改進現有的工具,而非創造全新的威脅。

勒索軟體CryptoLocker

我能做些什麼?

 

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE(下載器),它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌,以及使用者如何去回應它。

 

讓我們從簡單的電腦安全實作開始(往往也最常被忽視)。想想看,當開啟帶有附件的郵件時,一般都要:

 

  • 確認電子郵件的寄件者身分。
    如果電子郵件號稱來自銀行,請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人,確認他們是否有寄過這郵件。不要僅僅依賴於信任關係,因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
  • 仔細檢查郵件內容是否有與事實不符的地方。
    注意是否有明顯錯誤或和事實不符的地方:來自銀行或朋友的郵件聲稱他們有收到你的東西?試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
  • 避免點入電子郵件中的連結。
    在一般情況下,避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結,確保你的瀏覽器透過網頁信譽評比技術檢查過該連結,或使用像趨勢科技Site Safety Center的免費服務。
  • 確保你的軟體都在最新狀態。
    目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播,但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
  • 備份重要資料。
    不幸的是,沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是,確保你有正確的備份檔案。應該要做到3-2-1原則:三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製(Volume Shadow Copy),可以讓你將檔案回復到之前的狀態,它是預設開啟的。雲端儲存服務(如SafeSync)也可以做為你備份策略內有效的一部分。

對於企業客戶,檢討有關電子郵件附件的相關政策。通過電子郵件發送可執行檔通常被認為是不好的行為。大多數組織也有嚴格的附件封鎖政策 – 如果你還沒有,現在是個很好的時機來考慮建立一個。

將設備設定為特定用途也是另一種減少感染Cryptolocker機會的作法。例如,如果使用者只需要使用Microsoft Word,那麼系統上具備有限權限的使用者帳號也就足夠。大多數企業可能已經有這樣的做法,但還可以用軟體白名單來加強,並且配合使用Windows的某些功能,像是AppLocker

為了補強組織的整體安全策略。使用者所需要的安全解決方案不僅是保護用戶於執行惡意檔案,還可以在惡意軟體到達你的系統前提供保護。

趨勢科技的電子郵件信譽評比服務可以阻止這些包含惡意附件的垃圾郵件。具體地說,真實檔案類型過濾功能可以在電子郵件附件有可能是惡意時提醒使用者:

勒索軟體 CryptoLocker

此外,趨勢科技的網頁信譽評比服務也會封鎖所有相關網址。安全解決方案的組合再加上確認允許執行的應用程式列表,讓電腦被攻擊的表面積大為減少。

結論

雖然沒有具備任何新的做法,CryptoLocker已經將之前勒索軟體 Ransomware假防毒軟體所用的恐嚇戰術有效地運用到新的境界。今日大多數使用者都依賴於良好的防毒軟體,但重要的是要注意,使用者教育、定期軟體更新、嚴格的電腦使用政策都是在防禦CryptoLocker和類似威脅上至關重要的。

由於現在的網路犯罪分子都會加強惡意軟體,電腦系統也必須同樣地加以強化以防禦這些攻擊。解決惡意軟體感染的全面性作法不僅是要降低感染率,還要提供深入的防禦戰略來涵蓋多層面的攻擊,以幫助打破惡意軟體感染鏈的整個週期。

使用OfficeScan(OSCE)和Worry-Free Business Security/Service(WFBS/WFBS-SVC)的趨勢科技用戶可以遵循這些最佳實作以防止勒索軟體感染

 

@原文出處:Defending Against CryptoLocker作者:Jay Yaneza(技術支援)

 

◎延伸閱讀

史上最狠毒勒索軟體: Crypto Locker SHOTODOR 後門程式

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

 

勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

趨勢科技 TrendMicro

CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。

勒索軟體CryptoLocker

 趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。

利用趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖一、帶有惡意附件的垃圾郵件截圖

 

一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖二、CryptoLocker感染途徑

 

有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。

 

關於CryptoLocker加密的注意事項

雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。

RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。

這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。

關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖三、加密檔案列表可以在系統註冊表內看到

 

趨勢科技關於CryptoLocker的解決方案

趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。

趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為 勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖四、趨勢科技偵測相關的惡意軟體

繼續閱讀