Cryptolocker是勒索软件Ransomware的一个分支,具备档案加密的功能,在2013年10月出现。它从被发现开始就不停地演变,加入了新策略和手法来避免被侦测以及说服无辜用户支付赎金好换回自己的档案。
Cryptographic Locker勒索软件
趋势科技最近发现一个自称为Cryptolocker的勒索软件变种,侦测为TROJ_CRITOLOCK.A。这个被称为Cryptographic Locker的勒索软件 Ransomware ——TROJ_CRITOLOCK.A用MSIL编译包装,意味着它需要.NET Framework来加以运作,这和之前的Cryptolocker不同。
TROJ_CRITOLOCK.A会加密扩展名为DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX和TXT以及其他各种的档案,接着会将这些加密过的档案更名为{原始档名和扩展名}._clf。它使用一个特定版本的Rijndael对称算法,不同于Cryptolocker使用的非对称算法。
图1、TROJ_CRITOLOCK.A让中毒系统出现此壁纸
根据趋势科技的分析,一旦TROJ_CRITOLOCK.A将中毒系统上的档案进行加密,就会出现以下信息来通知用户档案已被加密,并且要求用户用比特币(Bitcoin)支付赎金以取得用户加密档案的“私钥”。比特币价格来自C&C服务器所送出的包含比特币地址的封包(封装的数据报文)。在测试人员试着让服务器感染TROJ_CRITOLOCK.A时,同样出现了以下信息通知用户档案已被加密,而在跟随提示进行操作并用比特币支付赎金后,伪装成黑客的测试人员也顺利收到了0.2比特币的勒索赎金。
图2、要求用户用比特币支付赎金
恶意软件还会在被感染的计算机上随机生成“密钥”和“初始化载体”,然后将这些数据信息送到其C&C服务器。同时,它还会收集一些系统信息,并连接到特定网址来收发信息,进而影响系统的安全性。此外,它还会终止多个程序。
Cryptolocker的演变
从2014年开始,我们看到其它加密勒索软件如Cryptobit、CrytoDefense、CryptoWall、POSHCODER、Cryptoblocker和Cryptroni/Critoni。趋势科技将第一个版本的Crypolocker侦测为 CRILOCK。我们最近发现的变种是批处理文件勒索软件,侦测为BAT_CRYPTOR。每个变种都有其自身独特性或显著行为。
Cryptobit要求用户使用Tor浏览器,使其能够在网络中掩盖恶意活动,达到闪躲的目的。另一方面,Cryptodefense会显示一个网页,其中包含了告诉用户如何通过Tor浏览器进入付款页面的指示。
图3、Cryptodefense出现网页指示用户如何支付赎金
Cryptowall用笔记本程序打开勒索信,里面包含了通过Tor浏览器进入付款网页的指示。早期版本的Crytolocker有个图形化接口来提供付款信息。CRITONI和Cryptoblocker有图形化界面和壁纸,跟早期版本的Cryptolocker类似。
图4、CRITONI的图形化接口
在5月,一个被称为POSHCODER的勒索软件出现,利用Windows的PowerShell功能来进行加密。网络犯罪份子和威胁者都利用此功能来避免在目标系统和网络内被侦测。
在同一个月,我们还发现了第一个移动勒索软件,侦测为ANDROIDOS_LOCKER.HBT,它使用了Tor浏览器,就跟其它加密勒索软件变种类似。它被打造成假应用程序 ——“Sex xonix”,可以在第三方应用程序商店下载。在8月,另一个移动勒索软件ANDROIDOS_RANSOM.HBT出现,它会终止自身以外的所有应用程序,并且加密SD卡中的数据。
图5、Cryptolocker变种出现肆虐的时间表
最佳做法
鉴于这些演进,趋势科技认为勒索软件 Ransomware仍然是用户和企业在保护系统和设备时最需要注意的安全威胁之一。强烈建议用户不要屈服而去支付赎金,这可能会进一步鼓励不法分子继续他们的恶意行动。使用完整安全解决方案以侦测这类威胁,备份个人资料、图片和重要文件也是很好的做法。
另外,用户应该要了解勒索软件 Ransomware威胁的本质,有足够的认识才可以长远地确保数据和系统安全。
1878
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
