趋势科技注意到最近有大量的加密勒索软件在澳洲扩散。这一波与我们在12月初提到过在欧洲/中东/非洲(EMEA)地区所出现的大量感染很类似。根据进一步的研究和分析,我们的结论是这些攻击的幕后黑手很可能是同一个集团,因为所用的IP地址很相似。
感染途径
趋势科技的分析显示,用来识别澳洲TorrentLocker恶意软件家族的特征码也可以识别土耳其、意大利和法国的病毒爆发。
我们观察到TorrentLocker恶意软件会对澳洲和EMEA地区国家特别设定,对这些国家展示相似的付款页面。如果用户不是位于被针对的国家,就会出现通用的英文网页,并且用美元要求赎金。下面是一连串TorrentLocker恶意软件所显示的画面,而且会不正确地告诉受害者它是“CryptoLocker病毒”。
(根据地理位置出现不同的付款要求页面)
在澳洲,基本价格是598澳币,并且会有警告信息告诉用户在给出比特币(Bitcoin)地址的四天后赎金会增加一倍。
TorrentLocker网站在各个国家所用的诈骗性网域相关的IP地址例子包括31.41.218.229——放置澳洲邮政和土耳其 TTNET的相关钓鱼网页,193.124.16.16——放置SDA Express相关的TorrentLocker网域。
在诈骗性网站中找到相似之处
趋势科技主动式云端截毒服务 SmartProtection Network的数据显示出最常被伪造假冒的网站及其在EMEA地区与澳洲的感染状况。这些网站通常跟邮政服务和政府机构有关,其他的研究指出在澳洲常被假冒的网域包括auspost.com.au/和nsw.gov.au。在土耳其,最常被假冒的网域是 ttnet.com.tr(属于一家土耳其网络供货商的合法网站),而在西班牙最常被冒用的是https://online.correos.es/(西班牙邮政的网站)。
根据这些资料,趋势科技搜索了跟这些网域相关的字符串,发现在2014年的10月到12月间,这些诈骗网站平均每天都会被访问近千次。而在我们调查会访问这些诈骗性网域的国家中,榜首是澳洲,其相关诈骗网域auspost.com.au/与nsw.gov.au占了75%。第三名是跟意大利快递服务http://www.sda.it/相关的诈骗性网域。而与网络供货商www.ttnet.com.tr相关的诈骗性网域是第四名。
下面是趋势科技所监测的诈骗性网域的分布:
(被封锁的诈骗性网域)
这显示出同一个集团可能活跃在不同的国家,意味着我们可能看到的是一个大规模的全球性威胁。
对加密勒索软件攻击保持警觉
随着加密勒索软件 Ransomware在澳洲和各地区扩散,我们上述的调查结果让我们有理由相信这些攻击背后代表的是全球性的趋势,可能很快就会影响到更大范围的受害者。对于用户来说,当然要对这些攻击保持警觉。不要理会关于“勒索”的虚假信息,随时了解最新的网络犯罪行为伎俩和技术。