勒索軟件“BitCrypt”瞄準比特幣!
趨勢科技近期發(fā)現(xiàn)勒索軟件(Ransomware)新手法,自稱為BitCrypt。該勒索軟件除了加密感染電腦中的文件進行勒索之外,還專門從當前流行的各類電子錢包內(nèi)竊取資金、并竊取用戶電腦內(nèi)重要信息。由于這個新變種加入了中文語言版本,有可能將針對中國地區(qū)攻擊。趨勢科技提醒廣大網(wǎng)友,打開陌生郵件時千萬要小心,建議比特幣用戶使用離線電子錢包、并備份電腦內(nèi)的重要資料,避免遭到勒索。目前,趨勢科技最新中國區(qū)病毒碼 10.714.60 已可以檢測并處理此勒索軟件,用戶可升級到最新病毒碼以進行防護。
趨勢科技(中國區(qū))技術(shù)總監(jiān)蔡昇欽表示:“CryptoLocker 或是其它類似勒索軟件的嚴重威脅在國外已經(jīng)持續(xù)很久了,近兩年開始在中國流行。 最近我們又確認了此類威脅的兩個不同變種‘TROJ_CRIBIT.A’, TROJ_CRIBIT.B。除了會對加密文件加上后綴‘.bitcrypt*’之外。其中一個變種更是使用了含中文在內(nèi)的10種語言發(fā)送勒索郵件。攻擊者還‘體貼’的加入了Tor2Web鏈接使受害者無需安裝tor軟件即可連接存在于DeepWeb 的web頁面進行支付、解密 ”
蔡昇欽指出,此勒索程序會從各種渠道入侵用戶電腦,尤其是垃圾郵件。趨勢科技主動式云端截毒服務(wù)(Smart Protection Network)的資料顯示,有40%的CRIBIT受害者來自美國,另外有11%來自日本。
勒索信內(nèi)容如下:
注意!
你的BitCrypt ID:{交易編號}
你電腦上所有的必要文件(照片、文件、資料庫和其他)都通過唯一的RSA-1024密鑰加密。
只有通過一個特殊程序才能解密你的文件,而且每個BitCrypt ID都對應(yīng)一個程序。
來自電腦維修服務(wù)和防毒實驗室的專家無法幫助你。
為了收到解密程序,你需要遵照此鏈接{惡意網(wǎng)站#1}和跟隨指示。
如果現(xiàn)有鏈接無法作用,你需要按照以下步驟恢復文件:
1.嘗試打開連結(jié){惡意網(wǎng)站#2}。如果失敗,繼續(xù)執(zhí)行步驟2。
2.下載并安裝Tor瀏覽器{Tor專案網(wǎng)站}
3.安裝完成后,啟動Tor瀏覽器,連接下列網(wǎng)址{惡意網(wǎng)站#3}
記住,你越快采取行動,越有機會去恢復你的文件。
除了上述情況外,TROJ_CRIBIT.B還會將桌面變成黑色背景加上白色文字,來通知用戶目前狀況。為了讓分析更加困難,勒索軟件Ransomware不會在系統(tǒng)內(nèi)留下副本,所以很難取得樣本來研究行為并確定其感染媒介。經(jīng)過進一步的調(diào)查,趨勢科技發(fā)現(xiàn)一個FAREIT信息竊取惡意軟件變種“TSPY_FAREIT.BB”,它會下載“TROJ_CRIBIT.B”。這種變種還具備“從多種比特幣錢包竊取信息”的能力,它會搜尋并嘗試盜取文件信息。
和CryptoLocker一樣,用戶會被引導進入一個看來專業(yè)的網(wǎng)站來解密他們的文件。該網(wǎng)站實際上是深層網(wǎng)絡(luò)的一部份,只能夠通過Tor來連上,但攻擊者已經(jīng)周到的提供到Tor2Web的鏈接,這是一個可以讓用戶無須使用Tor就能連上深層網(wǎng)絡(luò)網(wǎng)站的服務(wù)。他們被要求輸入在勒索信中所提供的BitCrypt ID登錄。(如下圖)
【網(wǎng)站中所提供的BitCrypt ID登錄窗口】
登錄之后,用戶被引導進入BitCrypt網(wǎng)頁(它將自己描述為Bitcrypt軟件公司),提供了用戶如何回復信息的說明。然而,這需要支付0.4比特幣(現(xiàn)在價值約等于1500元人民幣)。網(wǎng)絡(luò)犯罪分子甚至還在其網(wǎng)站上提供常見問答頁面,如下圖所示:
【網(wǎng)站上的常見問答頁面】
BitCrypt只是我們最近所看到許多Bitcoin相關(guān)威脅中的最新一個。雖然比特幣的價值已經(jīng)從去年年底的巔峰下降了,但它的價值還是足夠大到值得作為竊取的目標——無論是利用Bitcoin竊取惡意軟件的形式(像BitCrypt),或是更大的攻擊形式,例如將目標放在交易所(像是Mt. Gox和Vircurex)。
趨勢科技建議比特幣用戶可采用“離線電子錢包”管理比特幣,將電子錢包儲存在一個沒有網(wǎng)絡(luò)連接且安全的地方,并經(jīng)常離線備份重要信息,避免被竊取并遭到勒索。此外,用戶還需要養(yǎng)成良好的網(wǎng)絡(luò)安全習慣,不要隨意點開未知發(fā)送者的郵件附件,也不要隨意訪問未知的國外站點(特別是黃色站點或是視頻下載站點)。
除了以上這些措施之外,建議用戶最好安裝趨勢科技PC-cillin 2014云安全版等信息安全軟件,以進行更周密的安全防護。PC-cillin 2014云安全版軟件采用了全球獨家“主動式云端攔截技術(shù)”,能夠主動防御并阻擋病毒入侵電腦,并在全球用戶聯(lián)動的環(huán)境中,實現(xiàn)全球威脅實時檢測,甄別出隱藏的安全威脅,幫助用戶安享數(shù)字生活。
