趋势科技自从在2013年底注意到加密勒索软件家族以来,就持续地监控其修改及演进的过程。虽然加密勒索软件在威胁环境中相对较“新”,但已经将自己打造成对无辜用户的巨大威胁。加密勒索软件就是类似Cryptolocker这样会去通过档案加密功能来强化的勒索软件。
趋势科技发现这两个变种持续进化的加密勒索软件:
1、CoinVault 勒索软件让受害者可免费解密一个档案
CoinVault(或称TROJ_CRYPTCOIN.AK)勒索软件从其他变种脱颖而出是因为它提供用户一个少见的机会:解救一个加密档案的机会。这个恶意软件经由从恶意网站或受感染U盘来自动下载以进入系统。一旦存在系统内,CoinVault能够收集信息,连到特定网站,并且加密档案。
加密受感染系统的档案后,CoinVault会展示出一段信息告诉用户可以选择免费解密一个档案。
(CoinVault在受感染系统中展示出的影像)
(左:TROJ_CRYPTCOIN.AK(或CoinVault)勒索讯息,右:TROJ_CRITOLOCK.A勒索讯息)
经过进一步分析,TROJ_CRYPTCOIN.AK 看来是九月出现的“Cryptograhic Locker勒索软件”变种TROJ_CRITOLOCK.A的更新。一个明显的差别是它使用不同的桌面和图形化接口(GUI)。此外,Cryptograhic Locker勒索软件变种(TROJ_CRITOLOCK.A)使用进阶加密标准(AES-128)加密法,而其更新版本(TROJ_CRYPTCOIN.AK)使用AES-256。这个加密法加上免费加值模式让TROJ_CRYPTCOIN.AK(或CoinVault)有别于之前的加密勒索软件。
2、TROJ_CRYPAURA 勒索软件指示受害者联络特定邮件以取得赎金支付指示
另一个勒索软件变种(侦测为TROJ_CRYPAURA.A、TROJ_CRYPAURA.B和TROJ_CRYPAURA.C)采用和CoinVault不同的做法。并非将所有解密付赎信息放在勒索信息中,而是指示受害者联络特定电子邮件地址以取得进一步指示。
(勒索信息指示用户连络一个电子邮件地址)
(通过电子邮件给予指示)
发信到所述的电子邮件地址会得到完整的说明。用户需要将加密档案上传到一个档案储存网站并将链接发送给这些恶棍,然后他们才解密该档案,并要求通过比特币支付大约500美金赎金。
恶意软件会重新命名加密档案,将攻击者电子邮件地址加到新文件名中。
免费取回档案:是还是不是?
提供免费解密看来奇怪,但它其实是种说服用户的手段。解密一个档案告诉了受害者其他档案也可以被恢复——如果他们愿意付钱。但当然,并没有任何保证当用户支付赎金后就可以完全恢复。更有可能的是这些手段只是让用户愿意上钩的诱饵,而他们的档案还是会永远地失去。
即使网络犯罪分子用CoinVault 捆绑免费赠送服务,最好还是采取防范措施去保存档案以应对勒索威胁。将备份文件变成日常习惯,同时在不同位置采取手动和自动备份,通过外部硬盘或使用云端安全服务。另一积极措施是不要点入可疑电子邮件或来源的未知网站。
趋势科技主动式云端截毒服务可以封锁所有威胁相关档案和恶意网址来保护用户解决 CoinVault 和CRYPAURA 恶意软件。