警告:一大波勒索比特币病毒来袭!
勒索恶意软件于2013年至2014年成长非常迅速,2014年末,针对英国皇家邮政爆发TorrentLocker网络勒索钓鱼尚未退烧,紧接2015年1月又出现CTB-Locker勒索软件,严重的是,它不再只针对某国家、地区,而是全球性且支持多语言的恶意勒索病毒。
ASRC研发中心于CTB-Locker未爆发前,即开始接收到拉丁美洲和东欧的恶意电子邮件报告,利用电子邮件传播恶意代码,目的是要将受害者机密数据及文件加密,然后勒索赎金。我们发现CTB-Locker主要是通过电子邮件传播的,以开始危害至全球数以万计的用户。 目前ASRC云端收集报告整理,以波兰‧捷克共和国和墨西哥所受的影响是最大,下图是目前全球各地区的受影响比例:
CTB-Locker是透过电子邮件攻击,该邮件附件是一个传真型FAX文件,该恶意软件被ASRC检测出Win32/TrojanDownloader.Elenoocka.A。若用户打开文件,防病毒软件将无法保护计算机,Win32/FileCoder.DA (ASRC检测) 变种病毒将入侵到您的系统,所有文件被加密,永远无法使用,除非用户支付赎金(比特币)才能回复文件。
这些变种Win32/TrojanDownloader.Elenoocka.A会连结到远程下载Win32/FileCoder.DA变种病毒,我们称它为CTB-Locker。该变种家族的加密方式类似CryptoLocker来加密所有文件,而主要区别在于加密的运算方式,所以CTB-Locker的名称由此而生。
CTB-Locker是类似CryptoLocker 和TorrentLocker的结合,其扩展文件类型如.mp4、.pem、.jpg、.doc,、.cer、.db等,由密钥加密,目前几乎无法恢复加密文件。一旦恶意软件完成加密动作,会自动跳出信息并更改桌面,如下图。
网络犯罪者提供德语、意大利语、荷兰及英语等多种语言供被害者选择,并告知被害者一旦付完赎金,即可恢复所有文件,同时也会告知若不付赎金将会如何运作。
画面中,网络黑客会展示传送比特币到某个地方后,会将其文件解密,若被害者无比特币,亦可选择其他方式。.
CTB-Locker特别是它可选择不同语言,并转换为该语言的币值,例如选择英文,显示的币值即是美元。目前8比特币等于1680美元。
从技术上来看,Win32/TrojanDownloader.Elenoocka.A是一个小又简单的威胁,就像前文所提到,他们会有很多不同的行动,ASRC研发中心更发现还附加了一个样本invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr。而最近的样本中又多了几个随机字从invoice_2015_01_20-15_33 .scr、stride_invoice_2015_01_20-15_33.scr、tiger_invoice_2015_01_20-15_38.scr etc。之后,他会打开在Word中的RTF文档诱饵,此份文件是在一个名为”DATA”的CAB压缩文件内发现。
目前此勒索软件在全球肆虐中,ASRC全球实时监控系统也不断接到反馈,包括华南地区的深圳和台湾地区,我们已经有数十件案例,ASRC研发中心建议:
1. 由于病毒在进行加密操作前会访问以下的微软官方网站,建议对以下URL进行暂时性的拦截,该措施可以有效防止计算机中文件被加密:
2. www.download.windowsupdate.com
3. 尽快更新最新版本防毒软件,即可预防并侦测出有问题的邮件。
4. 企业用户:建议通过类似SPAM SQR邮件威胁防御软件,对附件中的.scr 文件进行拦截,自动过滤有问题的垃圾邮件,为第一道防护做准备。
5. 个人用户:请格外警惕附件是FAX的来历不明的邮件,并标记为垃圾邮件,以防止其它用户或公司员工受到威胁。
6. 无论企业用户还是个人用:建议定期备份您的重要数据,因为截止目前,被类似勒索软件加密的文件,暂时还无法通过第三方方法还原。
完全抵御此攻击并不是一个简单的任务,需拟订一套完整的安全技术、防范意识和教育、采取积极主动的心态。依照上方四项建议可有效帮助个人及企业避免受到类似恶意威胁。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場