標籤: CTB-Locker

 

 

當加密勒索軟體在北美和歐洲等地猖獗時，我們也注意到這些區域之外也出現了感染狀況。像是Critroni或Curve-Tor-Bitcoin（CTB）Locker，一種舊的crypto-locker變種也在亞洲出現。雖然出現在這些新地區的偵測數量還沒有那麼大，但這可能是不久將來出現更大量加密勒索軟體攻擊的前兆。

 

什麼是加密勒索軟體？

它是一種勒索軟體，會加密使用者系統或檔案以勒索金錢。這會阻止使用者存取自己的檔案或電腦。

[更多資訊：勒索軟體基礎：它是什麼及它如何運作]

 

CTB Locker和其他加密勒索軟體有何不同？

• CTB Locker一般會要求使用者支付3比特幣（約95美元）
• 它不需要網路去加密檔案；即便沒有連網也可以運作。
• 它通常會提供免費解密五個檔案。
• 它會延長加密檔案的贖金期限。
• 它的勒贖訊息提供受害者其他語言選項。

使用者怎麼感染到CTB Locker？

• 受害者收到帶有惡意軟體的垃圾郵件。
• 惡意軟體下載CTB Locker。
• CTB Locker加密受害者的檔案。
• 受害者收到勒贖訊息和支付期限。
• 受害人接著需要透過TOR支付比特幣。

 

 

CTB Locker對新地區的的影響如何？

 

以下是美國和歐洲以外最受影響的國家。受到攻擊的原因可能各不相同，但最可能的是不好的網路瀏覽習慣和缺乏適當且更新的安全解決方案。

 

• 印度
• 泰國
• 印尼
• 臺灣
• 越南
• 馬來西亞
• 菲律賓
• 澳洲
• 香港
• 韓國
• 新加坡
• 紐西蘭

 

萬一使用者系統受到感染，仍然可以取回其資料嗎？

雖然經由付出贖金來重新取回資料的承諾很誘人，但不該這麼做。就算付錢，要取回被加密資料的可能性也很小。防護這類勒索軟體攻擊最好的方法是預防。

 

使用者如何避免系統感染CTB Locker？

他們可以做到下列幾點：

• 避免點入可疑連結。
• 備份重要資料。
• 檢查電子郵件寄件者。
• 仔細檢查郵件內容。
• 確保軟體更新。

 

＠原文出處:Crypto-Ransomware Spreads into New Territories

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

---

▼ 歡迎加入趨勢科技社群網站▼

 

---

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

 

趨勢科技PC-cillin雲端版 ，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

趨勢科技PC-cillin雲端版 ，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

 

最近請當心下面三個山寨版電子郵件來信 ：

• noreply@goog.le.com
• noreply@mail.fb.com
• service@paypal.co.uk

這些電子郵件地址乍看之下或許正常，但仔細一瞧，就會發現 Google 的電子郵件地址拼錯了。此外，雖然 fb.com 這個網域確實屬於 Facebook，但卻是該公司的企業內部電子郵件網域。簡單來說就是，Facebook 絕不會使用該網域來和 Facebook 使用者通訊。至於 PayPal，該公司所使用的網域是 paypal.com，而非 paypal.co.uk。

 

最近趨勢科技發表了一篇有關 CTB-Locker 勒索程式近期演進的文章:勒索軟體提供變更勒贖訊息語系的選項,中國出現激增災情。簡而言之，惡意程式現在提供了一項「免費解密」服務來延長其檔案解密的最後期限，以及一個切換勒索指示語言的選項。

日前網路上又出現了另一波 CTB-Locker 勒索軟體 Ransomware攻擊。這一波加密勒贖程式攻擊最值得注意的一點是，他們利用了 Facebook 和 Google Chrome 這類「知名大廠」為社交工程（social engineering ）誘餌。

新的誘餌

我們發現這些 CTB-Locker 勒索軟體 Ransomware會假冒來自 Google Chrome 和 Facebook 的電子郵件。

假冒來自 Google Chrome 的電子郵件會偽裝成一封 Chrome 瀏覽器更新電子郵件通知。當使用者點選其中的連結之後，就會被帶往一個散布惡意程式的網站。其惡意程式會利用 Google Chrome 的圖示來偽裝成正常的安裝套件，但它其實是 TROJ_CRYPCTB.YUX 惡意程式變種。

圖 1：假冒的 Google Chrome 電子郵件。

除此之外，歹徒也會假冒來自 Facebook 的郵件，此郵件會偽裝成一封帳號停用通知，並且指示使用者點選郵件當中的連結，如此會下載一個惡意程式。

圖 2：假冒的 Facebook 電子郵件。

下載的惡意程式使用了 .PDF 的圖示來偽裝成該類型的檔案，但它其實是 TROJ_CRYPCTB.NSA 惡意程式變種。 繼續閱讀

CTB-Locker勒索軟體加入免費軟體功能並且延長期限

趨勢科技在去年七月發現一個稱為Critroni或Curve-TOR-Bitcoin（CTB）Locker的加密勒索軟體 Ransomware。最近我們觀察到CTB惡意軟體的改進，現在提供了「免費解密」服務、延長檔案解密期限及提供變更勒贖訊息語系的選項。這新變種還要求支付3比特幣（約630美元），而在七月所看到的舊版本只收取0.02比特幣或24美元。

除了這些改進外，我們也看到這些攻擊在某些地區激增，主要是歐洲、中東和非洲（EMEA）、中國、拉丁美洲和印度。

感染CTB-Locker

我們之前報導過CTB Locker會使用Tor來隱藏其活動，但這新變種有著顯著的新變化。

這個CTB-Locker變種透過垃圾郵件到達。這些垃圾郵件用不同的語言寄送，常常偽裝成重要通知訊息以誘騙收信者打開附加檔案，趨勢科技注意到是壓縮兩次的檔案。

這些攻擊所使用的部分垃圾郵件樣本被判斷是由長期存在的CUTWAIL殭屍網路之部分系統所發送。CUTWAIL已知會重複使用現有的資源（包括「Botnet傀儡殭屍網路」）；所以這波垃圾郵件攻擊的部分IP地址早出現在我們垃圾郵件黑名單上多年也就不令人意外了，有些地址甚至早在2004年就已經被列入黑名單。

 

圖1、帶有惡意ZIP附加檔案的垃圾郵件樣本，裡面包含惡意下載程式TROJ_CRYPCTB.SMD
其附加檔案實際上是一個惡意下載程式，被偵測為TROJ_CRYPCTB.SMD。這個惡意軟體會連到多個網址來下載CTB-Locker惡意軟體到系統上。這勒索軟體 Ransomware被偵測為TROJ_CRYPCTB.SME。檢查這些網址後，我們確定這些都是被入侵淪陷的網站，而且都在法國。這個惡意軟體用輪循（Round-Robin）的方式來選擇惡意軟體下載網址。

 

這裡有個解釋攻擊模式的圖表，感染鏈開始於帶有惡意ZIP附加檔案的垃圾郵件（如圖1所示的郵件範例）。

 

圖2、CTB-Locker感染鏈範例

 

新的發展

七月出現的舊版TROJ_CRYPCTB.A變種只給使用者72個小時，而這個新版本給使用者96個小時付款。延長期限可能是基於現實考量：較長的期限意味著可能會有更多受害者能夠支付費用。

按下「Next（下一步）」會出現「Test Decryption（測試解密）」的選項，惡意軟體在這裡透過免費服務來引誘使用者。「Test Decryption（測試解密）」功能可以隨機解密五個檔案，用以說服使用者真的可以解密。還出現說明訊息告知使用者不能重新命名或刪除檔案，只有被選中的檔案會被解密。該惡意軟體還會用其他語言（如德文、荷蘭文和義大利文）來顯示勒贖訊息。

繼續按下「Next（下一步）」會出現支付頁面，惡意軟體在這裡會指示受害者支付3比特幣（Bitcoin）或630美元以進行檔案解密；否則所有檔案都將永久保持加密狀態。該訊息還包括了如何透過Tor瀏覽器來支付贖金的說明。以下是趨勢科技在2014年七月所看到舊版本CBT-Locker及最新版本變種間的比較。

圖3、新 CBT-Locker變種要求高達630美元或3比特幣以讓使用者解密自己的檔案

 

該訊息指出受害者必須在期限內支付贖金。否則所有檔案將永久保持加密狀態。

分析變種後發現一個之前的 CTB-Locker所沒有的功能，就是有免費解密檔案的機會。這種免費模式曾經出現在惡意軟體CoinVault上，但這個 CTB-Locker變種還更加碼，讓受害人可以解密五個檔案而非只有一個。

免費解密可視為是一種說服使用者支付贖金的方式。解密檔案讓受害者覺得如果支付費用的話，自己的其他檔案也可以復原。

圖4、「免費解密」服務

繼續閱讀