今年開始不久,趨勢科技注意到一個舊惡意軟體家族TSPY_USTEAL再度出現。這資料竊取惡意軟體現在加入了新功能,包括了惡意加殼(Packer)、加花(Obfuscation)以及加入勒索軟體 Ransomware。
TSPY_USTEAL變種早在2009年就開始出現,以會竊取敏感資料著稱,像是電腦詳細資訊和儲存在瀏覽器內的密碼。它可以作為植入程式,將它資源區段內的外掛程式或二進位檔案植入受害系統。偷來的資訊會儲存在一加密的.bin檔案,透過FTP上傳到C&C伺服器。這是以前變種的部分行為,新版本中也繼續保有。
我們最新所偵測到的變種是TSPY_USTEAL.USRJ,它會植入勒索軟體 Ransomware(偵測為TROJ_RANSOM.SMAR)到受害系統上。這些勒索軟體是由一新工具包產生器所生成,讓攻擊者可以完全控制勒索軟體 Ransomware的行為,包括它所加密的檔案類型到顯示的勒贖說明。
我們將這工具包偵測為TROJ_TOOLKIT.WRN。下面是譯自俄文的英文功能說明。包括加密的檔案類型、勒贖說明、附加到加密檔案的副檔名以及所植入編碼程式的名稱。
圖一、勒索工具包的英文說明
勒索軟體 – TROJ_RANSOM.SMAR會將自身副本植入到使用者電腦中。然後用相同圖示和副檔名來加密特定檔案。例如,它可以將副檔名.EnCiPhErEd加到選定的檔案格式,像是.LNK,.ZIP等,就像是記號一般。它接著會植入一內含勒贖細節的圖檔。
圖二、勒贖說明 繼續閱讀