■王蕊
加密勒索软件惊现网络
■王蕊
卡巴斯基实验室检测到一种最新的威胁,其表现出奇怪的行为,该威胁来自TelsaCrypt勒索软件家族,是一种恶意的文件加密器。TelsaCrypt感染主要发生在美国、德国和西班牙,其次还包括意大利、法国和英国。这种版本为2.0的最新木马能够感染计算机游戏玩家,在浏览器显示一个HTML页面,该页面同CryptoWall 3.0感染后显示的页面完全一样,而CryptoWall 3.0同样是一款臭名卓著的勒索软件。网络罪犯这样做的目的可能是一种声明,因为目前很多被CryptoWall加密的文件都无法解密,而过去发生的很多TelsaCrypt感染却并非如此。成功感染后,恶意程序会要求用户支付500美元赎金获取解密密匙,如果受害者没有及时支付,赎金就会加倍。
最早的TeslaCrypt样本在2015年2月被检测到,这款最新的勒索软件一经发现,就立刻变得臭名卓著,因为其对计算机游戏玩家造成了严重的威胁。除了针对其它类型的文件进行攻击外,这款恶意软件还会感染典型的游戏文件,包括游戏存档文件、用户配置文件以及游戏回放文件等。但是,TeslaCrypt不会对体积大于268MB的文件进行加密。
那么,TeslaCrypt究竟如何感染受害者?卡巴斯基实验室的研究显示,其在感染新的受害者时,会生成一个独特的比特币地址,用于接收受害者支付的赎金,还声称一个用于提取资金的密匙。TeslaCrypt的命令和控制服务器位于Tor网络中。TelsaCrypt 2.0版本使用两套密匙:一套密匙位于受感染系统中,另一套密匙则会在恶意程序每次在系统重新启动时生成。不仅如此,加密文件的密匙不会存储在受害者硬盘上,所以解密用户文件变得非常复杂。
来自TeslaCrypt恶意软件家族的恶意程序会通过Angler、Sweet Orange和Nuclear漏洞利用程序包进行传播。在这种恶意软件传播机制下,当受害者访问受感染的网站时,漏洞利用程序的恶意代码会使用浏览器漏洞(通常为插件漏洞),在受害者计算机上安装恶意软件。
对于此次发现的恶意加密软件,卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn表示:“TeslaCrypt会针对游戏玩家进行攻击,欺骗和恐吓用户。例如,该恶意软件的上一版本显示一条信息,声称用户的文件被采用著名的RSA-2048加密算法进行加密,让受害者认为只有支付赎金,别无他法。但事实上,网络罪犯并没有使用这种加密算法。在最新的版本中,TeslaCrypt会让受害者误认为自己被CryptoWall所感染。因为文件一旦被这种恶意软件加密,是没有办法解密的。但是,感染后出现的所有链接均指向TeslaCrypt服务器,很显然,TeslaCrypt的编写者不会将受害者支付的赎金拱手让给自己的竞争者。”
目前,卡巴斯基实验室针对企业与个人用户的产品已将这种恶意程序检测为Trojan-Ransom.Win32.Bitman.tk,并且能够成功保护用户免受其威胁。此外,卡巴斯基实验室的解决方案还部署了反恶意加密软件子系统。当有可疑的应用程序试图访问用户的个人文件时,该子系统会记录相关行为,并立即对受保护文件创建本地备份。如果应用程序确实是恶意的,该系统会自动利用备份文件回滚非法的更改。这样,保护用户抵御未知的恶意加密软件。
为保护更多用户免受该威胁,卡巴斯基实验室建议广大用户定期对所有重要的文件进行备份。一旦文件备份拷贝完成,应当将备份文件立刻同计算机断开。另外,对软件进行及时更新和升级非常重要,尤其是浏览器以及其插件。如果系统被恶意程序感染,最好使用更新过反病毒数据库以及具有安全模块功能的最新版安全软件进行处理。
卡巴斯基实验室一直致力于保护互联网用户,抵御勒索软件。今年四月,卡巴斯基实验室同荷兰的国家高科技犯罪组合作,启动了勒索软件解密网站,帮助受CoinVault勒索软件感染的用户在无需向网络罪犯支付赎金的前提下,找回自己的数据。