返回新闻列表

勒索软件向Tor靠拢:Cryptolocker潜在继任者现身

        加密勒索软件是一种加密用户数据并以此勒索解密赎金的恶意软件。根据卡巴斯基实验室的研究,加密勒索软件正以一种全新的方式投入运行。卡巴斯基实验室将这种恶意软件称之为“洋葱”勒索软件,因为它利用Tor匿名网络(洋葱路由器)隐藏其恶性本质,令这项持续性恶意软件活动的行动者难以被追踪。

        经技术改进后,该恶意软件已成为一种极具危险性的威胁,是目前最复杂的加密软件之一。

        洋葱恶意软件继承了其它臭名昭著的加密软件——CryptoLocker(CryptoDefence/CryptoWall, ACCDFISA)和GpCode。它是一种新型加密勒索软件,采用倒计时方法恐吓受害者支付比特币作为解密赎金。网络罪犯声称支付期限为72小时,否则全部文件将不复存在。

        为了转移机密数据与支付信息,洋葱路由会与散布在匿名网络中的指令和控制服务器进行通讯。卡巴斯基实验室的研究员此前曾发现这类通讯架构,但是它仅被一些银行恶意软件家族(如Tor加强版64-bit ZeuS)使用。

        “目前,这种Tor通讯方式似已得到证实,并被其它类型的恶意软件使用。在此前发现的案例中,洋葱恶意软件的技术改进体现在恶意活动所使用的Tor功能上。将指令与控制服务器隐匿于Tor网络中令搜索网络罪犯变得十分复杂。由于其使用了非正规的加密手段,即便在木马与服务器之间拦截流量,也无法解密文件。这些因素使洋葱恶意软件成为一种极具危险性的威胁,并且是目前技术最复杂的加密软件之一”,卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn表示。

        请访问securelist.com查看相关博文,了解有关加密手段的更多信息。

三重齐下的感染手段

        洋葱恶意软件首先会通过Andromeda僵尸网络(Backdoor.Win32.Androm)接近某一设备。僵尸网络继而得到指令,在受感染的设备中下载并运行来自Koleee家族的另一恶意软件。后者将继续下载洋葱恶意软件至该设备。而这仅是卡巴斯基实验室迄今为止发现的恶意软件传播方式之一。

地理分布

        根据记录,入侵企图多发生在独联体国家,同时在德国、保加利亚、阿拉伯联合酋长国和利比亚也检测出了个例。

        该恶意软件的最新样本支持俄语界面。这一事实与木马内部的若干字符串皆表明,该恶意软件编写者会讲俄语。

安全小贴士

  • 拷贝重要文件

        确保关键数据安全的最佳方式便是遵守时间表定期拷贝数据。此外,应将副本创建于仅在该过程中可用的存储设备(例如,拷贝后立即移除的可移动存储设备)上。如未遵守上述建议,勒索软件会以感染原文件的相同方式入侵并加密拷贝文件。

  • 反病毒软件

        安全解决方案应保持开启模式,其所有组件需处于活跃状态。解决方案的数据库也应保持最新。

        请访问securelist.com查看完整报告。