WARNING!!! 全球一大波恶意勒索邮件来袭!

发布时间:2015-02-02 17:15:49
[摘要]勒索恶意软件于2013年至2014年成长非常迅速,2014年末,针对英国皇家邮政爆发TorrentLocker网络勒索钓鱼尚未退烧,紧接2015年1月又出现CTB-Locker勒索软件,严重的是,它不再只针对某国家、地区,而是全球性且支持多语言的恶意勒索病毒。

勒索恶意软件于2013年至2014年成长非常迅速,2014年末,针对英国皇家邮政爆发TorrentLocker网络勒索钓鱼尚未退烧,紧接2015年1月又出现CTB-Locker勒索软件,严重的是,它不再只针对某国家、地区,而是全球性且支持多语言的恶意勒索病毒。

ASRC研发中心于CTB-Locker未爆发前,即开始接收到拉丁美洲和东欧的恶意电子邮件报告,利用电子邮件传播恶意代码,目的是要将受害者机密数据及文件加密,然后勒索赎金。我们发现CTB-Locker主要是通过电子邮件传播的,以开始危害至全球数以万计的用户。 目前ASRC云端收集报告整理,以波兰?捷克共和国和墨西哥所受的影响是最大,下图是目前全球各地区的受影响比例:

说明: http://www.eset.tw/images/14012303.jpg

CTB-Locker是透过电子邮件攻击,该邮件附件是一个传真型FAX文件,该恶意软件被ASRC检测出Win32/TrojanDownloader.Elenoocka.A。若用户打开文件,防病毒软件将无法保护计算机,Win32/FileCoder.DA (ASRC检测) 变种病毒将入侵到您的系统,所有文件被加密,永远无法使用,除非用户支付赎金(比特币)才能回复文件。

说明: http://www.eset.tw/images/14012304.jpg

这些变种Win32/TrojanDownloader.Elenoocka.A会连结到远程下载Win32/FileCoder.DA变种病毒,我们称它为CTB-Locker。该变种家族的加密方式类似CryptoLocker来加密所有文件,而主要区别在于加密的运算方式,所以CTB-Locker的名称由此而生。

CTB-Locker是类似CryptoLocker 和TorrentLocker的结合,其扩展文件类型如.mp4、.pem、.jpg、.doc,、.cer、.db等,由密钥加密,目前几乎无法恢复加密文件。一旦恶意软件完成加密动作,会自动跳出信息并更改桌面,如下图。

网络犯罪者提供德语、意大利语、荷兰及英语等多种语言供被害者选择,并告知被害者一旦付完赎金,即可恢复所有文件,同时也会告知若不付赎金将会如何运作。

说明: http://www.eset.tw/images/14012306.jpg
说明: http://www.eset.tw/images/14012307.jpg

画面中,网络黑客会展示传送比特币到某个地方后,会将其文件解密,若被害者无比特币,亦可选择其他方式。.

说明: http://www.eset.tw/images/14012308.jpg

CTB-Locker特别是它可选择不同语言,并转换为该语言的币值,例如选择英文,显示的币值即是美元。目前8比特币等于1680美元。

从技术上来看,Win32/TrojanDownloader.Elenoocka.A是一个小又简单的威胁,就像前文所提到,他们会有很多不同的行动,ASRC研发中心更发现还附加了一个样本invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr。而最近的样本中又多了几个随机字从invoice_2015_01_20-15_33 .scr、stride_invoice_2015_01_20-15_33.scr、tiger_invoice_2015_01_20-15_38.scr etc。之后,他会打开在Word中的RTF文档诱饵,此份文件是在一个名为”data”的CAB压缩文件内发现。

目前此勒索软件在全球肆虐中,ASRC全球实时监控系统也不断接到反馈,包括华南地区的深圳和台湾地区,我们已经有数十件案例,ASRC研发中心建议:

1. 由于病毒在进行加密操作前会访问以下的微软官方网站,建议对以下URL进行暂时性的拦截,该措施可以有效防止计算机中文件被加密:

2. www.download.windowsupdate.com

3. 尽快更新最新版本防毒软件,即可预防并侦测出有问题的邮件。

4. 企业用户:建议通过类似SPAM SQR邮件威胁防御软件,对附件中的.scr 文件进行拦截,自动过滤有问题的垃圾邮件,为第一道防护做准备。

5. 个人用户:请格外警惕附件是FAX的来历不明的邮件,并标记为垃圾邮件,以防止其它用户或公司员工受到威胁。

6. 无论企业用户还是个人用:建议定期备份您的重要数据,因为截止目前,被类似勒索软件加密的文件,暂时还无法通过第三方方法还原。

完全抵御此攻击并不是一个简单的任务,需拟订一套完整的安全技术、防范意识和教育、采取积极主动的心态。依照上方四项建议可有效帮助个人及企业避免受到类似恶意威胁。

※关于Softnext 守内安:

将近四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安凭借在网络内容安全应用领域十多年的深入钻研,致力于邮件安全以及网络内容的风险管控,提供面向市场、面向客户的最新威胁防御的网络安全产品,秉承“服务·品质·值得信赖”的全新品牌理念;在FROST & SULLIVAN(全球知名市调公司)大中华区调研中,成为连续五年复合业绩成长率第一名的质优企业。

作为邮件风险管理和信息安全内控管理服务的专业研发厂商,Softnext守内安立于本土,深入的本土化耕耘,相继获颁【2013中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】,邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】,并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣,并在品牌建设上,屡获软件和信息技术服务业【最有价值品牌奖】。





免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。