勒索软件CryptoWall - APT防御产品

勒索软件CryptoWall

勒索软件CryptoWall

CryptoWall在网络敲诈生态系统中是最为流行的一种勒索软件,也是CryptoLocker的升级版本,一种通过将文件加密来勒索用户的恶意软件。通常,它会伪装成无害的应用程序或者文件。CryptoWall的攻击Payload会加密受害者电脑中的文件,锁住受害者的屏幕,让受害者不得不“支付赎金”来解密。

在2014年2月至8月这6个月中受CryptoWall感染的用户达600000个,收到的赎金约在100万美元左右,攻击者每次索要的金额从100美元到500美元不等。

在最新变种中,攻击者采取了一种低调而有效的方式,在受害人机器上偷偷加密正常文件,并主动执行恶意软件。而这次CryptoWall利用的是.Chm附件。

.Chm文件因何变得危险

.Chm文件格式是HTML文件格式的扩展,它本来是一种用于给软件应用程序作用户手册的特殊文本格式。简单来说,HTML文件格式被压缩和重整以后,就被制成了这种二进制的.Chm扩展文件格式。通常,.Chm文件格式由压缩的HTML文件、图像、Javascript这些文件组合而成,同时,它可能还带有超链接目录、索引以及全文检索功能。

这些.Chm文件有着较多的用户交互,并且采用了一系列的技术。其中包含的Javascript代码自不用多说,它可以在你打开.Chm文件时,直接重定向到一个外部链接。也就是说,用户只要打开一次这类文件,里面包含的恶意代码就可能主动运行。这似乎给人一种感觉,即用户交互更少的时候,感染的机会反而更大。

真实案例分析

下面这份来自内网的传真邮件样本,让我们不得不相信,这些邮件是为了渗透各大公司而特别打造的。

一旦用户访问了这些.chm文件的内容,恶意代码会主动访问类似于http://*********/putty.exe的链接,并将下载下来的文件另存为%temp%\natmasla2.exe,最后主动执行CryptoWall恶意程序。而在期间,会弹出一个命令提示框。

这场电子邮件攻击风暴发生在2月18日,有成百上千的用户受到波及。而垃圾邮件服务器的似乎在越南、印度、澳大利亚、美国、罗马尼亚以及西班牙等诸个国家都有分布。在分析收件人的邮箱域名时,我们发现受害用户同样遍及世界各地,包括美国、欧洲以及澳大利亚。

Bitdefender实验室将这种病毒定义为Trojan.GenericKD.2170937

安全建议

你可以下载Bitdefender实验室开发的防护程序,普通用户可以利用它阻止cryptowall在不知不觉中将文件加密。


转载请注明出处 APT防御产品 » 勒索软件CryptoWall

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址