趋势科技在去年七月发现一个称为Critroni或Curve-TOR-Bitcoin(CTB)Locker的加密勒索软件 Ransomware。最近我们观察到CTB恶意软件的改进,现在提供了“免费解密”服务、延长文件解密期限及提供变更勒索信息语系的选项。这个新变种还要求支付3比特币(约630美元),而在七月所看到的旧版本只收取0.02比特币或24美元。
除了这些改进外,我们也看到这些攻击在某些地区激增,主要是欧洲、中东和非洲(EMEA)、中国、拉丁美洲和印度。
感染CTB-Locker
我们之前提到过CTB Locker会使用Tor来隐藏其活动,但这个新变种有着显著的新变化。
这个CTB-Locker变种通过垃圾邮件到达。这些垃圾邮件用不同的语言寄送,常常伪装成重要通知信息以诱骗收信者打开附件,趋势科技注意到是压缩两次的文件。
这些攻击所使用的部分垃圾邮件样本被判断是由长期存在的CUTWAIL僵尸网络的部分系统所发送。CUTWAIL已知会重复使用现有的资源(包括“Botnet傀儡殭尸网络”);所以这波垃圾邮件攻击的部分IP地址早就出现在我们的垃圾邮件黑名单上,有些地址甚至在2004年就已经被列入黑名单。
(带有恶意ZIP附件的垃圾邮件样本,里面包含恶意下载程序TROJ_CRYPCTB.SMD)
其附件实际上是一个恶意下载程序,被侦测为TROJ_CRYPCTB.SMD。这个恶意软件会连到多个网址并下载CTB-Locker恶意软件到系统上,而勒索软件 Ransomware被侦测为TROJ_CRYPCTB.SME。检查这些网址后,我们确定这些都是被入侵沦陷的网站,而且都在法国。这个恶意软件用轮循(Round-Robin)的方式来选择恶意软件下载网址。
这里有个解释攻击模式的图表,感染链开始于带有恶意ZIP附件的垃圾邮件(如上图所示的邮件范例)。
(CTB-Locker感染链范例)
新的发展
七月出现的旧版TROJ_CRYPCTB.A变种只给用户72个小时,而这个新版本给用户96个小时付款。延长期限可能是基于现实考虑:较长的期限意味着可能会有更多受害者能够支付费用。
按下“Next(下一步)”会出现“Test Decryption(测试解密)”的选项,恶意软件在这里通过免费服务来引诱用户。“Test Decryption(测试解密)”功能可以随机解密五个文件,用以说服用户真的可以解密。还出现说明信息告知用户不能重新命名或删除文件,只有被选中的文件会被解密。该恶意软件还会用其他语言(如德文、荷兰文和意大利文)来显示勒索信息。
继续按下“Next(下一步)”会出现支付页面,恶意软件在这里会指示受害者支付3比特币(Bitcoin)或630美元以进行文件解密,否则所有文件都将永久保持加密状态。该信息还包括了如何通过Tor浏览器来支付赎金的说明。以下是趋势科技在2014年七月所看到旧版本CBT-Locker及最新版本变种间的比较。
(新 CBT-Locker变种要求高达630美元或3比特币以让用户解密自己的档案)
该信息指出受害者必须在期限内支付赎金,否则所有文件将永久保持加密状态。
分析变种后发现一个之前的 CTB-Locker所没有的功能,就是有免费解密文件的机会。这种免费模式曾经出现在恶意软件CoinVault上,但这个 CTB-Locker变种还更加码,让受害人可以解密五个文件而非只有一个。
免费解密可视为一种说服用户支付赎金的方式。解密文件让受害者觉得如果支付费用的话,自己的其他文件也可以复原。
(“免费解密”服务)
此一变种的另一个独特功能是用户可以选择英文以外的勒索信息。到目前为止,看到了三种语言:意大利文、德文和荷兰文。
(三种额外语系的勒索信息。左上:意大利;右上:德国;下:荷兰)
防护及对抗加密勒索软件
对抗这种新型勒索软件的第一道防线是知道如何正确地从正常电子邮件中区分出垃圾邮件。虽然有些电子邮件可能看起来很正常,还是要好好地检查发件人地址、主题以及电子邮件内容来看看是否有任何可疑之处。
面对不熟悉的文件、电子邮件、网址以及(尤其是)电子邮件附件时要特别小心谨慎。虽然“免费解密”这个诱饵会吸引人去支付赎金,但不能保证网络犯罪分子会真的解密你的文件并让一切恢复正常。
用户要记得定期备份数据。记得采取3-2-1原则:三份备份,两种不同储存媒体,一个分开的位置。