趨勢科技自從在2013年底注意到加密勒索軟體家族以來,就持續地監控其修改及演進的過程。雖然加密勒索軟體在威脅環境中相對較「新」,但已經將自己打造成對無辜用戶的巨大威脅。加密勒索軟體就是類似Cryptolocker這樣會去通過檔案加密功能來強化的勒索軟體。
趨勢科技發現這兩個變種持續進化的加密勒索軟體:
1、CoinVault 勒索軟體讓受害者可免費解密一個檔案
CoinVault(或稱TROJ_CRYPTCOIN.AK)勒索軟體從其他變種脫穎而出是因為它提供用戶一個少見的機會:解救一個加密檔案的機會。這個惡意軟體經由從惡意網站或受感染U盤來自動下載以進入系統。一旦存在系統內,CoinVault能夠收集信息,連到特定網站,並且加密檔案。
加密受感染系統的檔案後,CoinVault會展示出一段信息告訴用戶可以選擇免費解密一個檔案。
(CoinVault在受感染系統中展示出的影像)
(左:TROJ_CRYPTCOIN.AK(或CoinVault)勒索訊息,右:TROJ_CRITOLOCK.A勒索訊息)
經過進一步分析,TROJ_CRYPTCOIN.AK 看來是九月出現的「Cryptograhic Locker勒索軟體」變種TROJ_CRITOLOCK.A的更新。一個明顯的差別是它使用不同的桌面和圖形化接口(GUI)。此外,Cryptograhic Locker勒索軟體變種(TROJ_CRITOLOCK.A)使用進階加密標準(AES-128)加密法,而其更新版本(TROJ_CRYPTCOIN.AK)使用AES-256。這個加密法加上免費加值模式讓TROJ_CRYPTCOIN.AK(或CoinVault)有別於之前的加密勒索軟體。
2、TROJ_CRYPAURA 勒索軟體指示受害者聯絡特定郵件以取得贖金支付指示
另一個勒索軟體變種(偵測為TROJ_CRYPAURA.A、TROJ_CRYPAURA.B和TROJ_CRYPAURA.C)採用和CoinVault不同的做法。並非將所有解密付贖信息放在勒索信息中,而是指示受害者聯絡特定電子郵件地址以取得進一步指示。
(勒索信息指示用戶連絡一個電子郵件地址)
(通過電子郵件給予指示)
發信到所述的電子郵件地址會得到完整的說明。用戶需要將加密檔案上傳到一個檔案儲存網站並將連結發送給這些惡棍,然後他們才解密該檔案,並要求通過比特幣支付大約500美金贖金。
惡意軟體會重新命名加密檔案,將攻擊者電子郵件地址加到新文件名中。
免費取回檔案:是還是不是?
提供免費解密看來奇怪,但它其實是種說服用戶的手段。解密一個檔案告訴了受害者其他檔案也可以被恢復——如果他們願意付錢。但當然,並沒有任何保證當用戶支付贖金後就可以完全恢復。更有可能的是這些手段只是讓用戶願意上鉤的誘餌,而他們的檔案還是會永遠地失去。
即使網絡犯罪分子用CoinVault 捆綁免費贈送服務,最好還是採取防範措施去保存檔案以應對勒索威脅。將備份文件變成日常習慣,同時在不同位置採取手動和自動備份,通過外部硬碟或使用雲端安全服務。另一積極措施是不要點入可疑電子郵件或來源的未知網站。
趨勢科技主動式雲端截毒服務可以封鎖所有威脅相關檔案和惡意網址來保護用戶解決 CoinVault 和CRYPAURA 惡意軟體。
了解趨勢科技,請點擊閱讀原文: