【大纪元2017年04月08日讯】资安大厂趋势科技发现勒索病毒“TorrentLocker”变种, 攻击时会假冒受害者的供应商, 寄送含Dropbox连结的假发票下载点,进而散布恶意程式码。
趋势科技表示,尽管 TorrentLocker勒索病毒已过了它的巅峰期,但它至今依然活跃,而且由于侦测率不高,歹徒一直能够暗中攻击不知情的受害者。
TorrentLocker 的最新变种在行为上与趋势科技之前所侦测到的类似,主要的差异只在于散布方式,以及恶意程式执行档的包装方式。
比方说,新的 TorrentLocker变种在攻击时,会先假冒受害者的供应商,用电子邮件寄一份发票给受害者。这份“发票”不是随信附上,而是透过一个Dropbox连结来下载。
除此之外,为了增加邮件的真实性,邮件内容还包含了账单、发票和账户编号等资讯。 TorrentLocker之所以使用Dropbox连结, 就是为了躲过邮件闸道防护产品的侦测,因为邮件当中不含附件,而是使用指向正派网站的连结。
使用者一旦点选了邮件中的连结, 就会下载一个JavaScript档案(JS_NEMUCOD)到电脑上,这就是假发票。当使用者试图开启这份假发票时,会再下载另一个经过编码的JavaScript档案到记忆体中,进而下载TorrentLocker的恶意程式码到系统中执行。
新的 TorrentLocker变种有一项不同之处是其档案会包装成NSIS安装档以躲避侦测,一些其他常见的勒索病毒也使用同样的技巧, 如:CERBER、LOCKY、SAGE和SPORA。
从 2017年2月26日至3月6日这段期间,趋势科技的Smart Protection Network侦测到54688封含有Dropbox连结的垃圾邮件,分散在815个不同的Dropbox账号。此项威胁绝大多数都出现在欧洲,尤以德国和挪威的比率最高。挪威境内的威胁在2月底到达高峰,3月初开始慢慢转移到德国。
此外,威胁大多集中在平日出现,周末会暂时消失。而且趋势科技发现,上午 9时至10时之间的感染数量会突然飙高,这刚好是每天的上班时间左右,很可能是因为员工刚进办公室开始看信的缘故。由于企业经常使用 Dropbox来管理及传送档案,因此员工很容易因为缺乏戒心而受骗开启信中的连结。
目前,趋势科技正与 Dropbox密切合作来解决这项问题。根据 Dropbox资安团队表示,在消息发布当时,所有相关的恶意档案都已全部撤下,而相关的使用者账号也都已遭封锁。
趋势科技指出,有鉴于 TorrentLocker新变种与其他类似勒索病毒所采用的欺骗手法,企业应该格外小心提防社交工程攻击。首先,企业应教育员工如何防范网路钓鱼,时时提防可疑的电子邮件,例如:仔细查看寄件人的姓名及邮件内随附网址显示的文字是否与实际相符。事实上,一般使用者最好尽量避免下载附件档案或点选邮件中的连结,除非确定邮件的来源百分之百可靠。
除此之外,使用者也应采取一些额外步骤来备份资料,例如“3-2-1”原则: 至少3份备份、2种储存媒体(本机硬碟和随身碟)、1份放在其他地点保存。(转自中央社)
