Created: 2015-01-23 07:24:12
勒索惡意軟體於2013年至2014年成長非常迅速,2014年末,針對英國皇家郵政爆發TorrentLocker網路勒索釣魚尚未退燒,緊接2015年1月又出現CTB-Locker勒索軟體,嚴重的是,它不再只針對某國家、地區,而是全球性且支援多語言的惡意勒索病毒。
ESET研發中心於CTB-Locker未爆發前,即開始接收到拉丁美洲和東歐的惡意電子郵件報告,利用電子郵件傳播惡意代碼,目的是要將受害者機密資料及文件加密,然後勒索贖金。
在此文中,將可看到CTB-Locker是如何傳播,危害至全球數以萬計的用戶。
目前ESET雲端收集報告整理,以波蘭‧捷克共和國和墨西哥所受的影響是最大,
可透過下圖看到全球影響比例。
CTB-Locker是透過電子郵件攻擊,該郵件附檔為一個傳真型檔案,該惡意程式被ESET檢測出Win32/TrojanDownloader.Elenoocka.A。若用戶開啟檔案,防毒軟體將無法保護電腦,Win32/FileCoder.DA (ESET檢測) 變種將被下載到您的系統,所有文件被加密,永遠無法使用,除非用戶支付贖金(比特幣)才能檢視文件。
這些變種Win32/TrojanDownloader.Elenoocka.A會連結到遠端下載Win32/FileCoder.DA變種病毒,我們稱它為CTB-Locker。該變種家族的加密方式類似CryptoLocker來加密所有文件,而主要區別在於加密的運算方式,所以CTB-Locker的名稱由此而生。
CTB-Locker是類似CryptoLocker 和TorrentLocker的結合,其擴展檔案類型如.mp4、.pem、.jpg、.doc,、.cer、.db等,由密鑰加密,目前幾乎無法恢復加密文件。一旦惡意軟體完成加密動作,會自動跳出訊息並更改桌面,如下圖。
網路犯罪者提供德語、義大利語、荷蘭及英語讓被害者做選擇,並告知被害者一旦付完贖金,即可恢復所有文件,同時也會告知若不付贖金將會如何運作。
在這些畫面中,網路犯罪者會展示傳送比特幣到某個地方後,會將其文件解密,若被害者無比特幣,亦可選擇其他方式。.
CTB-Locker特別是它可選擇不同語言,並轉換為該語言的幣值,例如選擇英文,顯示的幣值即是美元。目前8比特幣等於1680美元。
從技術上來看,Win32/TrojanDownloader.Elenoocka.A是一個小又簡單的威脅,就像前文所提到,他們會有很多不同的行動,ESET研發中心更發現還附加了一個樣本invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr。而最近的樣本中又多了幾個隨機字從invoice_2015_01_20-15_33 .scr、stride_invoice_2015_01_20-15_33.scr、tiger_invoice_2015_01_20-15_38.scr etc。之後,他會打開在Word中的RTF文檔誘餌,此份文件是在一個名為”DATA”的CAB壓縮檔內發現。
目前此勒索軟體在全球大肆渲染,ESET全球各地技術中心不斷地接收訊息,包括台灣區已經有數十件案例,ESET研發中心建議如下:
1. 安裝ESET防毒軟體,並更新至最新版本,即可預防並偵測出有問題的信件。
2. 架設企業郵件伺服器安全方案,自動過濾有問題的垃圾郵件,為第一道防護做準備。
3. 避免開啟來歷不明信件,並標記為垃圾郵件,以防止其它用戶或公司員工受到威脅。
4. 定期備份重要資料。
完全抵禦此攻擊並不是一個簡單的任務,需擬訂一套完整的安全技術、防範意識和教育、採取積極主動的心態。依照上方四項建議可有效幫助個人及企業避免受到類似威脅。