加密勒索軟件驚現(xiàn)網(wǎng)絡(luò)

■王蕊

加密勒索軟件驚現(xiàn)網(wǎng)絡(luò)

■王蕊

卡巴斯基實驗室檢測到一種最新的威脅，其表現(xiàn)出奇怪的行為，該威脅來自TelsaCrypt勒索軟件家族，是一種惡意的文件加密器。TelsaCrypt感染主要發(fā)生在美國、德國和西班牙，其次還包括意大利、法國和英國。這種版本為2.0的最新木馬能夠感染計算機游戲玩家，在瀏覽器顯示一個HTML頁面，該頁面同CryptoWall 3.0感染后顯示的頁面完全一樣，而CryptoWall 3.0同樣是一款臭名卓著的勒索軟件。網(wǎng)絡(luò)罪犯這樣做的目的可能是一種聲明，因為目前很多被CryptoWall加密的文件都無法解密，而過去發(fā)生的很多TelsaCrypt感染卻并非如此。成功感染后，惡意程序會要求用戶支付500美元贖金獲取解密密匙，如果受害者沒有及時支付，贖金就會加倍。

最早的TeslaCrypt樣本在2015年2月被檢測到，這款最新的勒索軟件一經(jīng)發(fā)現(xiàn)，就立刻變得臭名卓著，因為其對計算機游戲玩家造成了嚴重的威脅。除了針對其它類型的文件進行攻擊外，這款惡意軟件還會感染典型的游戲文件，包括游戲存檔文件、用戶配置文件以及游戲回放文件等。但是，TeslaCrypt不會對體積大于268MB的文件進行加密。

那么，TeslaCrypt究竟如何感染受害者？卡巴斯基實驗室的研究顯示，其在感染新的受害者時，會生成一個獨特的比特幣地址，用于接收受害者支付的贖金，還聲稱一個用于提取資金的密匙。TeslaCrypt的命令和控制服務(wù)器位于Tor網(wǎng)絡(luò)中。TelsaCrypt 2.0版本使用兩套密匙：一套密匙位于受感染系統(tǒng)中，另一套密匙則會在惡意程序每次在系統(tǒng)重新啟動時生成。不僅如此，加密文件的密匙不會存儲在受害者硬盤上，所以解密用戶文件變得非常復(fù)雜。

來自TeslaCrypt惡意軟件家族的惡意程序會通過Angler、Sweet Orange和Nuclear漏洞利用程序包進行傳播。在這種惡意軟件傳播機制下，當(dāng)受害者訪問受感染的網(wǎng)站時，漏洞利用程序的惡意代碼會使用瀏覽器漏洞（通常為插件漏洞），在受害者計算機上安裝惡意軟件。

對于此次發(fā)現(xiàn)的惡意加密軟件，卡巴斯基實驗室高級惡意軟件分析師Fedor Sinitsyn表示：“TeslaCrypt會針對游戲玩家進行攻擊，欺騙和恐嚇用戶。例如，該惡意軟件的上一版本顯示一條信息，聲稱用戶的文件被采用著名的RSA-2048加密算法進行加密，讓受害者認為只有支付贖金，別無他法。但事實上，網(wǎng)絡(luò)罪犯并沒有使用這種加密算法。在最新的版本中，TeslaCrypt會讓受害者誤認為自己被CryptoWall所感染。因為文件一旦被這種惡意軟件加密，是沒有辦法解密的。但是，感染后出現(xiàn)的所有鏈接均指向TeslaCrypt服務(wù)器，很顯然，TeslaCrypt的編寫者不會將受害者支付的贖金拱手讓給自己的競爭者。”

目前，卡巴斯基實驗室針對企業(yè)與個人用戶的產(chǎn)品已將這種惡意程序檢測為Trojan-Ransom.Win32.Bitman.tk，并且能夠成功保護用戶免受其威脅。此外，卡巴斯基實驗室的解決方案還部署了反惡意加密軟件子系統(tǒng)。當(dāng)有可疑的應(yīng)用程序試圖訪問用戶的個人文件時，該子系統(tǒng)會記錄相關(guān)行為，并立即對受保護文件創(chuàng)建本地備份。如果應(yīng)用程序確實是惡意的，該系統(tǒng)會自動利用備份文件回滾非法的更改。這樣，保護用戶抵御未知的惡意加密軟件。

為保護更多用戶免受該威脅，卡巴斯基實驗室建議廣大用戶定期對所有重要的文件進行備份。一旦文件備份拷貝完成，應(yīng)當(dāng)將備份文件立刻同計算機斷開。另外，對軟件進行及時更新和升級非常重要，尤其是瀏覽器以及其插件。如果系統(tǒng)被惡意程序感染，最好使用更新過反病毒數(shù)據(jù)庫以及具有安全模塊功能的最新版安全軟件進行處理。

卡巴斯基實驗室一直致力于保護互聯(lián)網(wǎng)用戶，抵御勒索軟件。今年四月，卡巴斯基實驗室同荷蘭的國家高科技犯罪組合作，啟動了勒索軟件解密網(wǎng)站，幫助受CoinVault勒索軟件感染的用戶在無需向網(wǎng)絡(luò)罪犯支付贖金的前提下，找回自己的數(shù)據(jù)。