近期,趋势科技在打击网络犯罪方面取得了很大胜利,例如最近中断GAMEOVER ZeuS网络殭尸病毒,但类似的网络犯罪活动还是时有发生。近日,趋势科技发现了新的勒索软件,它是通过使用新的加密和回避方法的勒索软件Ransomware变种。
Cryptoblocker和它的加密技术
和其它勒索软件Ransomware变种一样,这种被侦测为TROJ_CRYPTFILE.SM的Cryptoblocker恶意软件会加密一定数量的档案。不过这个变种有一定的限制:首先,它不会感染大于100MB大小的档案。此外,它也会跳过文件夹C:\\WINDOWS,C:\\PROGRAM FILES和C:\PROGRAM FILES (X86)内的档案。
不像其它勒索软件Ransomware变种,Cryptoblocker不会产生任何文本文件来指示受害者如何解密档案。它会显示如下图的对话框,输入交易ID到文字框内会产生一个反馈信息:“交易已被发送,很快就会得到验证。”
(图1、对话框)
另外这款勒索软件的加密方式不是使用CryptoAPIs,而是使用了升级加密标准(AES),这与其它勒索软件Ransomware有着明显不同,因为RSA密钥会让解密档案更加困难。
如果你足够细心,解开程序代码时还会发现编译批注。通常编译批注会被删除,因为这些数据可以被安全研究人员用来侦测(进而封锁)来自该恶意软件作者的个人档案。出现编译批注,很可能表示Cryptoblocker背后的犯罪分子是开发勒索软件的新手。
根据趋势科技主动式云端截毒服务Smart ProtectionNetwork的反馈数据显示,可以看出美国是受影响最大的国家,其次是法国和日本,加上西班牙和意大利。这五个国家是受影响最大的。
(图2、受Cryptoblocker影响的国家)
Critroni以及Tor的使用
由于Tor可以匿名进行TCP传输,因此经常被网络犯罪分子利用,从而掩盖他们的恶意活动和躲避执法单位。近期,趋势科技侦测到TROJ_CRYPCTB.A的变种(又被称为Critroni或Curve-Tor-Bitcoin (CTB) Locker),也是使用Tor来掩盖其指挥和控制信息。当你的电脑被加密勒索软件感染后,恶意软件会将计算机桌面换成下面的图片:
(图3、所显示的桌面)
它还显示了赎金信息。使用者必须在一定期限内通过比特币支付赎金,否则所有档案将永久保持加密状态。
(图4、赎金信息)
BAT_CRYPTOR.A使用合法应用程序
这个被侦测为BAT_CRYPTOR.A的变种,使用GNU Privacy Guard应用程序来加密档案,即使系统不具备GnuPG,这个恶意软件仍然会执行加密行为。作为其感染行为的一部分,该恶意软件会植入GnuPG副本以用来加密。
这个恶意软件会删除%appdata%/gnupg/*,这是生成密钥储存的目录。接着,它会用genkey.like生成两把新密钥:一把公钥(pubring.gpg),另一把是私钥(secring.gpg)。
公钥会被用来加密系统上的档案,可以解密档案的私钥却留在受影响的系统上。然而,该私钥也会被加密,这让解密变得更加困难。
小心的重要性
这些勒索软件Ransomware变种证明,尽管犯罪活动被严重打击,但网络犯罪分子仍在千方百计想办法进行诈骗等不法活动。趋势科技提醒广大用户,在处理不熟悉的文档、电子邮件或网址链接时都要特别的小心。
另外,建议大家尽量使用防护性能强大的安全软件来保护自己的电脑文档,如使用趋势科技PC-cillin2014云安全软件为您的隐私进行安全防护。
153
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
