Cryptolocker是勒索软件Ransomware的一个分支。具备档案加密的功能。在2013年10月出现。它从被发现開始就不停地演变,增加了新策略和手法来避免被侦測以及说服无辜用户支付赎金好换回自己的档案。
Cryptographic Locker勒索软件
趋势科技近期发现一个自称为Cryptolocker的勒索软件变种。侦測为TROJ_CRITOLOCK.A。这个被称为Cryptographic Locker的勒索软件 Ransomware ——TROJ_CRITOLOCK.A用MSIL编译包装,意味着它须要.NET Framework来加以运作。这和之前的Cryptolocker不同。
TROJ_CRITOLOCK.A会加密扩展名为DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX和TXT以及其它各种的档案。接着会将这些加密过的档案更名为{原始档名和扩展名}._clf。它使用一个特定版本号的Rijndael对称算法。不同于Cryptolocker使用的非对称算法。
图1、TROJ_CRITOLOCK.A让中毒系统出现此壁纸
依据趋势科技的分析,一旦TROJ_CRITOLOCK.A将中毒系统上的档案进行加密,就会出现下面信息来通知用户档案已被加密,而且要求用户用比特币(Bitcoin)支付赎金以取得用户加密档案的“私钥”。比特币价格来自C&Cserver所送出的包括比特币地址的封包(封装的数据报文)。
在測试人员试着让server感染TROJ_CRITOLOCK.A时,相同出现了下面信息通知用户档案已被加密。而在尾随提示进行操作并用比特币支付赎金后。伪装成黑客的測试人员也顺利收到了0.2比特币的勒索赎金。
图2、要求用户用比特币支付赎金
恶意软件还会在被感染的计算机上随机生成“密钥”和“初始化载体”,然后将这些数据信息送到其C&Cserver。
同一时候。它还会收集一些系统信息,并连接到特定网址来收发信息,进而影响系统的安全性。此外。它还会终止多个程序。
Cryptolocker的演变
从2014年開始,我们看到其他加密勒索软件如Cryptobit、CrytoDefense、CryptoWall、POSHCODER、Cryptoblocker和Cryptroni/Critoni。
趋势科技将第一个版本号的Crypolocker侦測为 CRILOCK。
我们近期发现的变种是批处理文件勒索软件,侦測为BAT_CRYPTOR。
每一个变种都有其自身独特性或显著行为。
Cryptobit要求用户使用Tor浏览器,使其可以在网络中掩盖恶意活动,达到闪躲的目的。还有一方面。Cryptodefense会显示一个网页,当中包括了告诉用户怎样通过Tor浏览器进入付款页面的指示。
图3、Cryptodefense出现网页指示用户怎样支付赎金
Cryptowall用笔记本程序打开勒索信,里面包括了通过Tor浏览器进入付款网页的指示。早期版本号的Crytolocker有个图形化接口来提供付款信息。CRITONI和Cryptoblocker有图形化界面和壁纸,跟早期版本号的Cryptolocker类似。
图4、CRITONI的图形化接口
在5月。一个被称为POSHCODER的勒索软件出现,利用Windows的PowerShell功能来进行加密。网络犯罪份子和威胁者都利用此功能来避免在目标系统和网络内被侦測。
在同一个月。我们还发现了第一个移动勒索软件,侦測为ANDROIDOS_LOCKER.HBT,它使用了Tor浏览器,就跟其它加密勒索软件变种类似。它被打造成假应用程序 ——“Sex xonix”,能够在第三方应用程序商店下载。在8月,还有一个移动勒索软件ANDROIDOS_RANSOM.HBT出现,它会终止自身以外的全部应用程序,而且加密SD卡中的数据。
图5、Cryptolocker变种出现肆虐的时间表
最佳做法
鉴于这些演进,趋势科技觉得勒索软件 Ransomware仍然是用户和企业在保护系统和设备时最须要注意的安全威胁之中的一个。
强烈建议用户不要屈服而去支付赎金,这可能会进一步鼓舞不法分子继续他们的恶意行动。
使用完整安全解决方式以侦測这类威胁,备份个人资料、图片和关键文件也是非常好的做法。
另外。用户应该要了解勒索软件 Ransomware威胁的本质,有足够的认识才干够长远地确保数据和系统安全。