首页
社区
课程
招聘
趋势科技提醒:新型勒索软件瞄准比特币
发表于: 2014-4-21 15:18 1633

趋势科技提醒:新型勒索软件瞄准比特币

2014-4-21 15:18
1633
新闻链接:http://www.enet.com.cn/security/
新闻时间:2014年04月18日15:56
新闻正文:
       4月18日,趋势科技称近期发现自称为BitCrypt的勒索软件(Ransomware),改勒索软件除了加密感染电脑中的文件进行勒索之外,还专门从当前流行的各类电子钱包内窃取资金、并窃取用户电脑内重要信息。由于这个新变种加入了中文语言版本,有可能将针对中国地区攻击。趋势科技提醒网友打开陌生邮件时千万要小心,建议比特币用户使用离线电子钱包、并备份电脑内的重要资料,避免遭到勒索。目前,趋势科技最新中国区病毒码 10.714.60 已可以检测并处理此勒索软件,用户可升级到最新病毒码以进行防护。
  趋势科技(中国区)技术总监蔡昇钦表示:“CryptoLocker 或是其它类似勒索软件的严重威胁在国外已经持续很久了,近两年开始在中国流行。 最近我们又确认了此类威胁的两个不同变种‘TROJ_CRIBIT.A’, TROJ_CRIBIT.B。除了会对加密文件加上后缀‘。bitcrypt*’之外。其中一个变种更是使用了含中文在内的10种语言发送勒索邮件。攻击者还‘体贴’的加入了Tor2Web链接使受害者无需安装tor软件即可连接存在于DeepWeb 的web页面进行支付、解密 ”
  蔡昇钦指出,此勒索程序会从各种渠道入侵用户电脑,尤其是垃圾邮件。趋势科技主动式云端截毒服务(Smart Protection Network)的资料显示,有40%的CRIBIT受害者来自美国,另外有11%来自日本。
  勒索信内容如下:

  注意!

  你的BitCrypt ID:{交易编号}

  你电脑上所有的必要文件(照片、文件、资料库和其他)都通过唯一的RSA-1024密钥加密。

  只有通过一个特殊程序才能解密你的文件,而且每个BitCrypt ID都对应一个程序。

  来自电脑维修服务和防毒实验室的专家无法帮助你。

  为了收到解密程序,你需要遵照此链接{恶意网站#1}和跟随指示。

  如果现有链接无法作用,你需要按照以下步骤恢复文件:

  1.尝试打开连结{恶意网站#2}。如果失败,继续执行步骤2。

  2.下载并安装Tor浏览器{Tor专案网站}

  3.安装完成后,启动Tor浏览器,连接下列网址{恶意网站#3}

  记住,你越快采取行动,越有机会去恢复你的文件。

  除了上述情况外,TROJ_CRIBIT.B还会将桌面变成黑色背景加上白色文字,来通知用户目前状况。为了让分析更加困难,勒索软件Ransomware不会在系统内留下副本,所以很难取得样本来研究行为并确定其感染媒介。经过进一步的调查,趋势科技发现一个FAREIT信息窃取恶意软件变种“TSPY_FAREIT.BB”,它会下载“TROJ_CRIBIT.B”。这种变种还具备“从多种比特币钱包窃取信息”的能力,它会搜寻并尝试盗取文件信息。
       和CryptoLocker一样,用户会被引导进入一个看来专业的网站来解密他们的文件。该网站实际上是深层网络的一部份,只能够通过Tor来连上,但攻击者已经周到的提供到Tor2Web的链接,这是一个可以让用户无须使用Tor就能连上深层网络网站的服务。他们被要求输入在勒索信中所提供的BitCrypt ID登录。(如下图)

  登录之后,用户被引导进入BitCrypt网页(它将自己描述为Bitcrypt软件公司),提供了用户如何回复信息的说明。然而,这需要支付0.4比特币(现在价值约等于1500元人民币)。网络犯罪分子甚至还在其网站上提供常见问答页面,如下图所示:

       BitCrypt只是我们最近所看到许多Bitcoin相关威胁中的最新一个。虽然比特币的价值已经从去年年底的巅峰下降了,但它的价值还是足够大到值得作为窃取的目标--无论是利用Bitcoin窃取恶意软件的形式(像BitCrypt),或是更大的攻击形式,例如将目标放在交易所(像是Mt. Gox和Vircurex)。
  趋势科技建议比特币用户可采用“离线电子钱包”管理比特币,将电子钱包储存在一个没有网络连接且安全的地方,并经常离线备份重要信息,避免被窃取并遭到勒索。此外,用户还需要养成良好的网络安全习惯,不要随意点开未知发送者的邮件附件,也不要随意访问未知的国外站点(特别是黄色站点或是视频下载站点)。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//