[轉貼] CryptXXX會取代TeslaCrypt成為勒索病毒主流嗎？

admin

CryptXXX會取代TeslaCrypt成為勒索病毒主流嗎？POSTED ON 2016 年 06 月 01 日 BY TREND LABS 趨勢科技全球技術支援與研發中心

TeslaCrypt告別勒索病毒 Ransomware (勒索軟體/綁架病毒)圈已經在網路犯罪世界掀起了波瀾。壞蛋們紛紛加入，希望在TeslaCrypt所留下的空缺裡分一杯羹。而和這起事件相呼應的是，眾多消息指出勒索軟體界新強者的出現：CryptXXX。
CryptXXX（偵測為RANSOM_WALTRIX.C）一直都有在進行更新；其中一次是在讓受害者可以不用付贖金的免費解密工具出現之後。它不僅會加密檔案，最新的CryptXXX變種還會鎖住螢幕，讓使用者無法進入桌面。

抵達媒介
CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。

圖1、利用Angler漏洞攻擊套件的CryptXXX感染媒介

一旦使用者瀏覽了受入侵網站或是惡意廣告，就會被BEDEP惡意軟體變種植入CryptXXX。一旦它進入系統，它會先檢查自己是否執行在虛擬環境。如果偵測到，就會將自己停掉。

讓CryptXXX很難被阻止的原因是它還會執行一個看門狗（watchdog）程式。CryptXXX會同時進行兩個動作；一個是加密，另外一個是偵測異常的系統行為。當看門狗（watchdog）偵測到異常系統行為就會停止加密程序，再重新啟動加密程序。這會導致將惡意軟體停止，而看門狗（watchdog）會重新啟動惡意軟體的一個循環。


圖2、CryptXXX同時執行的兩個svchost.exe程序
Continue reading “CryptXXX會取代TeslaCrypt成為勒索病毒主流嗎？"


Reveton勒索軟體的下一代，CryptXXX出現POSTED ON 2016 年 04 月 21 日 BY TREND LABS 趨勢科技全球技術支援與研發中心



最近有一波新的勒索病毒 Ransomware (勒索軟體/綁架病毒),自三月底開始爆發。Proofpoint的研究人員加上安全分析師Frank Ruiz所提供的情報，發現了一個被稱為「CryptXXX」的新勒索軟體，根據其描述，它與早期的勒索軟體Reveton有明顯的關聯。
這個勒索病毒 Ransomware是由BEDEP惡意軟體所散播，透過Angler漏洞攻擊套件來感染系統。研究人員在文章內描述「Angler漏洞攻擊套件結合BEDEP來散播勒索軟體和Dridex 222」。這代表放有Angler漏洞攻擊套件的網頁被用來散播CryptXXX。此攻擊套件接著利用系統漏洞來植入BEDEP。因為其「惡意軟體下載」能力，CryptXXX會以第二段感染的方式出現，它是會延遲執行的DLL程式，至少要等待62分鐘才會作用。一旦勒索病毒 Ransomware開始執行，它會加密檔案並加上.crypt副檔名。

[延伸閱讀：勒索病毒白皮書]

跟其他勒索軟題類似（特別是Locky勒索軟體、TeslaCrypt和Cryptowall），這個變種會產生三種類型的檔案（de_crypt_readme.bmp、de_crypt_readme.txt、de_crypt_readme.html）來通知受駭系統的使用者，要求贖金以取回檔案。據研究人員所說，勒索病毒 Ransomware要求很高的贖金，每個系統500美元，跟過去常見的勒索金額相差甚遠。此外，CryptXXX具備防虛擬機器和防分析能力以躲避偵測，它會檢查註冊表內的CPU名稱和安裝攔截程序（hook procedure）來監視滑鼠活動。
CryptXXX還被發現會竊取比特幣（Bitcoin），同時還能在目標系統上掠取身分憑證和個人資料。趨勢科技的研究人員發現，它能夠從FTP、即時通和郵件應用程式中竊取資料。根據部落格文章，「這點是能夠預期的，因為BEDEP長久以來都會帶來資料竊取程式。具體地說，它在2014年11月至2015年12月中會帶來Pony。接著用一個無紀錄的「私有竊取程式」來取代Pony，一直持續到2016年3月中。我們相信勒索軟體內的資料竊取功能和BEDEP所散布的「私有竊取程式」內的一樣」。 [size=1.6]Continue reading
“Reveton勒索軟體的下一代，CryptXXX出現  “