16-21歲中國青年做起行動勒索軟體生意,上千變種地下市場流傳

一群新生代網路犯罪集團正在中國崛起,他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生,這群青年完全不怕被抓,不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼,然後再製作出屬於自己的惡意程式。正因為這一批人,中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware

 

鎖定Android 用戶的勒索軟體會在手機等行動裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方,使用者將無法利用正常方式將它解除安裝。。。。(當心手滑小提醒:該勒索軟體經由「video」(視訊) 和「porn」(色情) 等字眼的網域散播…)

Posted by 趨勢科技 Trend Micro

行動勒索軟體版圖年輕化,千隻變種在地下市場散播

這群年輕的網路犯罪份子之所以敢大膽地踏入原本陌生的網路犯罪領域,或許是因為當地執法寬鬆,當然更可能的是因為年輕人無知的膽量。

趨勢科技第一次注意到這群網路犯罪新生代是在監控 Android 勒索軟體 Ransomware ANDROIDOS_JIANMO.HAT 的時候。此變種會將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。《推薦閱讀》勒索軟體轉戰行動領域

 

我們在地下市場搜尋了一下發現,此惡意程式大約有一千多個變種。其中約有 250 個含有惡意程式作者的相關資料,包括聯絡資訊,這些人的年齡從 16 至 21 歲不等。


圖 1:惡意程式作者的 QQ (中國流行的即時通訊軟體) 帳號個人檔案,其中也包含了年齡資料 (最後一行)。

在仔細研究過這些變種之後可以明顯看出,它們全都來自同一份原始碼,而這份原始碼在地下市場流通相當廣泛。下圖顯示兩種版本的勒索軟體鎖定畫面。左邊原始版本的畫面文字欄位當中含有一些開玩笑的話。右邊修改過的版本則是含有歹徒提供給受害者的聯絡資訊。此處歹徒留下了其 QQ 群帳號。


圖 2:右側惡意程式含有一段訊息:「想破解吧?千萬別扣我qq448 (紅色部分)」。

有可能原始版本只是個雛型,因為畫面上並未提供任何付款的資訊。但當這份原始碼在地下市場流傳時,就成了勒索軟體 Ransomware變種的範本。這些年輕的網路犯罪份子只需要將自己的聯絡資訊加入程式碼當中即可。

目前,這些網路犯罪份子所要求的贖金大約在 5-10 美元左右。相較於其他勒索軟體 Ransomware來說,這價錢看似一筆小錢,但歹徒未來很可能會獅子大開口,當然也有可能是他們的受害對象很多,因此不需要求太高的金額。

感染散布方式: 「師傅」吸收「學徒」,傳授詐騙教學;學徒以幫忙散布方式來繳「學費」

正如我們先前指出,中國網路犯罪地下市場提供了各種網路犯罪教學服務。一些所謂的「師傅」會吸收一些有興趣的「學徒」,然後傳授他們一些駭客知識和技巧等等。而這群年輕人也如法泡製。他們除了從事勒索軟體 Ransomware詐騙之外,也提供了這類教學服務。


圖 3:網路聊天室上張貼的惡意程式教學廣告。 繼續閱讀

勒索軟體轉戰行動領域

勒索軟體 Ransomware一波一波持續不斷,尤其是最新出現的檔案加密勒贖軟體,例如:CryptoLocker。然而,這類惡意程式還有另一項令人憂心的發展:它們也開始將目光轉移到行動裝置上。

手機 綁架  上鎖 Mobie

Reveton 又回來了

五月初,有報導指出此勒索軟體是 Reveton 犯罪集團所為。Reveton 是專門散布警察勒索軟體的網路犯罪集團之一,行蹤遍布歐洲和美國,後來又擴散至世界其他國家。

然而,就目前的情勢來看,這些網路犯罪集團似乎已決定將行動裝置使用者也納入他們的事業版圖。趨勢科技先前的努力已使得這群網路犯罪集團的部分人員遭到逮捕,但仍未將他們一網打盡,其中有些人已經轉戰行動惡意程式領域。

趨勢科技所偵測到的 ANDROIDOS_LOCKER.A就是一例,它是經由特定的網址來散布。其網域包含了「video」(視訊) 和「porn」(色情) 等字眼,所以我們大概了解受害者是如何連上其惡意網址。

當裝置正在執行或使用當中時,該惡意程式會暗中監視使用者畫面上的活動。根據趨勢科技對其程式碼的分析,它會在裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方。如此一來,使用者就無法利用正常方式將它解除安裝,因為它的畫面會一直占據整個螢幕。

此外,它還會試圖透過多個網址來連上其幕後操縱 (C&C) 伺服器。這些網址現在都已無法連上,不過,其中一個網址先前會顯示色情內容。此勒索軟體顯然有能力傳送資訊到 C&C 伺服器,儘管它因為權限不足而沒有太多功能。

這些網址主要都位於美國和荷蘭的兩個 IP 位址。進一步分析顯示,這些 IP 位址還包含其他一些與這個惡意程式無關的惡意網址。

行動化風潮與最佳安全守則

近兩年來,原本桌上型電腦的惡意程式已逐漸轉進行動裝置。趨勢科技在今年三月即發現了專門以 Android 裝置為目標的比特幣 (Bitcoin) 採礦惡意程式。為了避開這類威脅,趨勢科技強烈建議您不要安裝非來自 Google Play 商店的應用程式,同時在您下載任何 App 之前都應仔細查看其開發廠商,而且要非常小心閱讀 App 的評論以確認 App 的真實性。

這項設定在 Android 系統「設定」當中的「安全性」設定內。此外,安裝一套像「安全達人」免費行動防護App( Android  / iOS )的資安軟體,也能提供一層額外保護,幫您偵測來自非官方商店的 App 程式威脅。

◎原文出處:Ransomware Moves to Mobile    作者:Abigail Pichel (技術通訊專員)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

 

 

FB_banner0331-2

 

◎ 歡迎加入趨勢科技社群網站

“48小時內支付贖金,否則你手機上的所有資料將永久被破壞!”又一手機勒索軟體現身

Android勒索軟體利用Tor隱藏C&C通訊

不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展:利用TOR(The Onion Router)匿名服務來隱藏C&C通訊。

根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析,我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住,需要支付1000盧布的贖金來解鎖。該畫面還指出,不支付將會導致在行動設備上的所有資料被破壞。

我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店,盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。

底下是顯示給使用者的警告訊息,使用的是俄文:

圖一、給使用者的警告訊息(點擊放大)

 

下面是警告訊息的粗略翻譯:

因為下載和安裝軟體nelitsenzionnnogo,你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。 

要解鎖你的手機需支付1000盧布。 

你有48小時的時間支付,否則你手機上的所有資料將永久被破壞!

 

1.      找到最近的QIWI終端支付系統

 2.      使用該終端機器,並選擇補充QIWI VISA WALLET

 3.      輸入號碼79660624806,然後按下一步

 4.      會出現留言視窗 輸入你的號碼去掉7ki 

5.      將錢放入終端機,然後按支付 

6.      收到付款後的24小時,你的手機將會被解鎖。 

7.      你可以透過行動商店和Messenger Euronetwork支付

 注意:試圖自己解開手機會導致手機完全被鎖住,所有消失的資料沒有機會回復。

繼續閱讀

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶

一個過去鎖定電腦散播勒索軟體 Ransomware 的惡意集團Reveton ,現在將要求贖金的目標改為Android手機 – 通常是會瀏覽色情網站的訪客。

Reveton是純粹的勒索軟體,它具有系統層級的存取能力,能導致受害者的手機無法運作。被害者為了讓手機恢復原狀,必須透過歹徒指定的付款機制支付300美元贖金,才能取回手機使用權。

1200 627 ransom  Android  blog

勒索軟體 Ransomware出現在行動世界只是個風暴的開始。「這將會變得非常的嚴重,」趨勢科技副總JD Sherry在Ransomware Gang Targets Android Phones這篇報導中說道:「我們將會在這一年看到大量的惡意軟體對手機進行攻擊,我不認為消費者和組織在轉移到行動設備時,已經準備好來面對這些攻擊。」

手機裝了這個惡意apk, 被綁架,會出現以下完全空白的畫面或是警察單位的警告信

ramsom勒索軟體 Android 手機
機裝了這個惡意apk, 被綁架,會出現以下完全空白的畫面或是警察單位的警告信(如下)

繼續閱讀