今年年初。趋势科技注意到旧恶意软件家族 (TSPY_USTEAL)再度出现。这数据窃取恶意软件如今增加了新功能。包含了恶意加壳(Packer)、加花(Obfuscation)以及增加勒索软件—Ransomware。
TSPY_USTEAL变种早在2009年就開始出现。以会窃取敏感数据着称。像是计算机具体信息和储存在浏览器内的password。
它能够作为植入程序,将它资源区段内的插件或二进制文件植入受害系统。偷来的信息会储存在一加密的.bin档案,通过FTP上传到C&Cserver。
这是曾经变种的部分行为,新版本号中也继续保有。
趋势科技最新所侦測到的变种是TSPY_USTEAL.USRJ,它会植入勒索软件 Ransomware(侦測为TROJ_RANSOM.SMAR)到受害系统上。这些勒索软件是由一新工具包产生器所生成。让攻击者能够全然控制勒索软件 Ransomware的行为,包含它所加密的文件类型到显示的勒索说明。
趋势科技将这工具包侦測为TROJ_TOOLKIT.WRN。以下是译自俄文的英文功能说明。包含加密的文件类型、勒索说明、附加到加密档案的扩展名以及所植入编码程序的名称。
(图一、勒索工具包的英文说明)
勒索软件 – TROJ_RANSOM.SMAR会将自身副本植入到用户计算机中。
然后用同样图示和扩展名来加密特定档案。
比如。它能够将扩展名.EnCiPhErEd加到选定的文件格式,像是.LNK,.ZIP等。就像是记号一般。它接着会植入一内含勒索细节的文档。
(图二、勒索说明)
当加密档案被存取,它会显示勒索说明加上取回password的联络方式。
取回方式可能是通过短信或电子邮件。
它接着会出现:要求输入password的讯息。假设输入正确password,就会解密并将加密档案回复到原本格式,然后勒索软件 Ransomware体就会删除自己。
但假设输入不对的password,并且尝试次数达到原先预定的极限值。它会显示下面错误讯息。接着会寻找档案来加密(除了已经加密的档案),再删除自己。
(图三、错误讯息)
这样的威胁组合实在令人忧心,由于在恶意软件窃取身份凭证和数据的同一时候,勒索软件 Ransomware也会通过加密档案来从受害者身上索取很多其它金钱。