卡巴斯基:加密勒索軟件驚現(xiàn)網(wǎng)絡(luò)

責(zé)任編輯:editor007

2015-07-17 20:52:31

摘自:會(huì)從商業(yè)服務(wù)網(wǎng)

全球領(lǐng)先的IT安全廠商——卡巴斯基實(shí)驗(yàn)室檢測(cè)到一種最新的威脅,其表現(xiàn)出奇怪的行為,該威脅來(lái)自TelsaCrypt勒索軟件家族,是一種惡意的文件加密器。

全球領(lǐng)先的IT安全廠商——卡巴斯基實(shí)驗(yàn)室檢測(cè)到一種最新的威脅,其表現(xiàn)出奇怪的行為,該威脅來(lái)自TelsaCrypt勒索軟件家族,是一種惡意的文件加密器。TelsaCrypt感染主要發(fā)生在美國(guó)、德國(guó)和西班牙,其次還包括意大利、法國(guó)和英國(guó)。這種版本為2.0的最新木馬能夠感染計(jì)算機(jī)游戲玩家,在瀏覽器顯示一個(gè)HTML頁(yè)面,該頁(yè)面同CryptoWall3.0感染后顯示的頁(yè)面完全一樣,而CryptoWall3.0同樣是一款臭名卓著的勒索軟件。網(wǎng)絡(luò)罪犯這樣做的目的可能是一種聲明,因?yàn)槟壳昂芏啾籆ryptoWall加密的文件都無(wú)法解密,而過(guò)去發(fā)生的很多TelsaCrypt感染卻并非如此。成功感染后,惡意程序會(huì)要求用戶支付500美元贖金獲取解密密匙,如果受害者沒(méi)有及時(shí)支付,贖金就會(huì)加倍。

最早的TeslaCrypt樣本在2015年2月被檢測(cè)到,這款最新的勒索軟件一經(jīng)發(fā)現(xiàn),就立刻變得臭名卓著,因?yàn)槠鋵?duì)計(jì)算機(jī)游戲玩家造成了嚴(yán)重的威脅。除了針對(duì)其它類型的文件進(jìn)行攻擊外,這款惡意軟件還會(huì)感染典型的游戲文件,包括游戲存檔文件、用戶配置文件以及游戲回放文件等。但是,TeslaCrypt不會(huì)對(duì)體積大于268MB的文件進(jìn)行加密。

那么,TeslaCrypt究竟如何感染受害者?卡巴斯基實(shí)驗(yàn)室的研究顯示,其在感染新的受害者時(shí),會(huì)生成一個(gè)獨(dú)特的比特幣地址,用于接收受害者支付的贖金,還聲稱一個(gè)用于提取資金的密匙。TeslaCrypt的命令和控制服務(wù)器位于Tor網(wǎng)絡(luò)中。TelsaCrypt2.0版本使用兩套密匙:一套密匙位于受感染系統(tǒng)中,另一套密匙則會(huì)在惡意程序每次在系統(tǒng)重新啟動(dòng)時(shí)生成。不僅如此,加密文件的密匙不會(huì)存儲(chǔ)在受害者硬盤上,所以解密用戶文件變得非常復(fù)雜。

來(lái)自TeslaCrypt惡意軟件家族的惡意程序會(huì)通過(guò)Angler、SweetOrange和Nuclear漏洞利用程序包進(jìn)行傳播。在這種惡意軟件傳播機(jī)制下,當(dāng)受害者訪問(wèn)受感染的網(wǎng)站時(shí),漏洞利用程序的惡意代碼會(huì)使用瀏覽器漏洞(通常為插件漏洞),在受害者計(jì)算機(jī)上安裝惡意軟件。

對(duì)于此次發(fā)現(xiàn)的惡意加密軟件,卡巴斯基實(shí)驗(yàn)室高級(jí)惡意軟件分析師FedorSinitsyn表示:“TeslaCrypt會(huì)針對(duì)游戲玩家進(jìn)行攻擊,欺騙和恐嚇用戶。例如,該惡意軟件的上一版本顯示一條信息,聲稱用戶的文件被采用著名的RSA-2048加密算法進(jìn)行加密,讓受害者認(rèn)為只有支付贖金,別無(wú)他法。但事實(shí)上,網(wǎng)絡(luò)罪犯并沒(méi)有使用這種加密算法。在最新的版本中,TeslaCrypt會(huì)讓受害者誤認(rèn)為自己被CryptoWall所感染。因?yàn)槲募坏┍贿@種惡意軟件加密,是沒(méi)有辦法解密的。但是,感染后出現(xiàn)的所有鏈接均指向TeslaCrypt服務(wù)器,很顯然,TeslaCrypt的編寫者不會(huì)將受害者支付的贖金拱手讓給自己的競(jìng)爭(zhēng)者。”

目前,卡巴斯基實(shí)驗(yàn)室針對(duì)企業(yè)與個(gè)人用戶的產(chǎn)品已將這種惡意程序檢測(cè)為Trojan-Ransom.Win32.Bitman.tk,并且能夠成功保護(hù)用戶免受其威脅。此外,卡巴斯基實(shí)驗(yàn)室的解決方案還部署了反惡意加密軟件子系統(tǒng)。當(dāng)有可疑的應(yīng)用程序試圖訪問(wèn)用戶的個(gè)人文件時(shí),該子系統(tǒng)會(huì)記錄相關(guān)行為,并立即對(duì)受保護(hù)文件創(chuàng)建本地備份。如果應(yīng)用程序確實(shí)是惡意的,該系統(tǒng)會(huì)自動(dòng)利用備份文件回滾非法的更改。這樣,保護(hù)用戶抵御未知的惡意加密軟件。

為保護(hù)更多用戶免受該威脅,卡巴斯基實(shí)驗(yàn)室建議廣大用戶定期對(duì)所有重要的文件進(jìn)行備份。一旦文件備份拷貝完成,應(yīng)當(dāng)將備份文件立刻同計(jì)算機(jī)斷開。另外,對(duì)軟件進(jìn)行及時(shí)更新和升級(jí)非常重要,尤其是瀏覽器以及其插件。如果系統(tǒng)被惡意程序感染,最好使用更新過(guò)反病毒數(shù)據(jù)庫(kù)以及具有安全模塊功能的最新版安全軟件進(jìn)行處理。

卡巴斯基實(shí)驗(yàn)室一直致力于保護(hù)互聯(lián)網(wǎng)用戶,抵御勒索軟件。今年四月,卡巴斯基實(shí)驗(yàn)室同荷蘭的國(guó)家高科技犯罪組合作,啟動(dòng)了勒索軟件解密網(wǎng)站,幫助受CoinVault勒索軟件感染的用戶在無(wú)需向網(wǎng)絡(luò)罪犯支付贖金的前提下,找回自己的數(shù)據(jù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)