俗話說:「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族,似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹,希望藉此海撈一票。
CrypMIC 和 CryptXXX 有許多共通之處:兩者都是經由 Neutrino 漏洞攻擊套件 來散布,並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] / UXXXXXX]),而其函式的命名也相同 (MS1、MS2)。此外,兩者也都採用了客製化通訊協定,經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。
然而進一步分析之後,我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如,CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱,這讓使用者更難分辨哪些檔案已遭到綁架。此外,兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序,並且會將此資訊回報給 C&C 伺服器。
下表比較兩者的異同之處: 繼續閱讀