趋势科技近期发现勒索软件(Ransomware)新手法,自称为BitCrypt。该勒索软件除了加密感染电脑中的文件进行勒索之外,还专门从当前流行的各类电子钱包内窃取资金、并窃取用户电脑内重要信息。由于这个新变种加入了中文语言版本,有可能将针对中国地区攻击。趋势科技提醒广大网友,打开陌生邮件时千万要小心,建议比特币用户使用离线电子钱包、并备份电脑内的重要资料,避免遭到勒索。目前,趋势科技最新中国区病毒码 10.714.60 已可以检测并处理此勒索软件,用户可升级到最新病毒码以进行防护。
趋势科技(中国区)技术总监蔡昇钦表示:“CryptoLocker 或是其它类似勒索软件的严重威胁在国外已经持续很久了,近两年开始在中国流行。 最近我们又确认了此类威胁的两个不同变种‘TROJ_CRIBIT.A’, TROJ_CRIBIT.B。除了会对加密文件加上后缀‘.bitcrypt*’之外。其中一个变种更是使用了含中文在内的10种语言发送勒索邮件。攻击者还‘体贴’的加入了Tor2Web链接使受害者无需安装tor软件即可连接存在于DeepWeb 的web页面进行支付、解密 ”
蔡昇钦指出,此勒索程序会从各种渠道入侵用户电脑,尤其是垃圾邮件。趋势科技主动式云端截毒服务(Smart Protection Network)的资料显示,有40%的CRIBIT受害者来自美国,另外有11%来自日本。
勒索信内容如下:
注意!
你的BitCrypt ID:{交易编号}
你电脑上所有的必要文件(照片、文件、资料库和其他)都通过唯一的RSA-1024密钥加密。
只有通过一个特殊程序才能解密你的文件,而且每个BitCrypt ID都对应一个程序。
来自电脑维修服务和防毒实验室的专家无法帮助你。
为了收到解密程序,你需要遵照此链接{恶意网站#1}和跟随指示。
如果现有链接无法作用,你需要按照以下步骤恢复文件:
1.尝试打开连结{恶意网站#2}。如果失败,继续执行步骤2。
2.下载并安装Tor浏览器{Tor专案网站}
3.安装完成后,启动Tor浏览器,连接下列网址{恶意网站#3}
记住,你越快采取行动,越有机会去恢复你的文件。
除了上述情况外,TROJ_CRIBIT.B还会将桌面变成黑色背景加上白色文字,来通知用户目前状况。为了让分析更加困难,勒索软件Ransomware不会在系统内留下副本,所以很难取得样本来研究行为并确定其感染媒介。经过进一步的调查,趋势科技发现一个FAREIT信息窃取恶意软件变种“TSPY_FAREIT.BB”,它会下载“TROJ_CRIBIT.B”。这种变种还具备“从多种比特币钱包窃取信息”的能力,它会搜寻并尝试盗取文件信息。
和CryptoLocker一样,用户会被引导进入一个看来专业的网站来解密他们的文件。该网站实际上是深层网络的一部份,只能够通过Tor来连上,但攻击者已经周到的提供到Tor2Web的链接,这是一个可以让用户无须使用Tor就能连上深层网络网站的服务。他们被要求输入在勒索信中所提供的BitCrypt ID登录。(如下图)
【网站中所提供的BitCrypt ID登录窗口】
登录之后,用户被引导进入BitCrypt网页(它将自己描述为Bitcrypt软件公司),提供了用户如何回复信息的说明。然而,这需要支付0.4比特币(现在价值约等于1500元人民币)。网络犯罪分子甚至还在其网站上提供常见问答页面,如下图所示:
【网站上的常见问答页面】
BitCrypt只是我们最近所看到许多Bitcoin相关威胁中的最新一个。虽然比特币的价值已经从去年年底的巅峰下降了,但它的价值还是足够大到值得作为窃取的目标——无论是利用Bitcoin窃取恶意软件的形式(像BitCrypt),或是更大的攻击形式,例如将目标放在交易所(像是Mt. Gox和Vircurex)。
趋势科技建议比特币用户可采用“离线电子钱包”管理比特币,将电子钱包储存在一个没有网络连接且安全的地方,并经常离线备份重要信息,避免被窃取并遭到勒索。此外,用户还需要养成良好的网络安全习惯,不要随意点开未知发送者的邮件附件,也不要随意访问未知的国外站点(特别是黄色站点或是视频下载站点)。
除了以上这些措施之外,建议用户最好安装趋势科技PC-cillin 2014云安全版等信息安全软件,以进行更周密的安全防护。PC-cillin 2014云安全版软件采用了全球独家“主动式云端拦截技术”,能够主动防御并阻挡病毒入侵电脑,并在全球用户联动的环境中,实现全球威胁实时检测,甄别出隐藏的安全威胁,帮助用户安享数字生活。
