您现在的位置是:首页 > IT基础架构 > 计算存储 >
勒索软件“BitCrypt”瞄准比特币!电子钱包、信息均成目标
摘要 全球服务器安全、虚拟化安全及云安全领导厂商趋势科技公布,近期发现勒索软件(Ransomware)新手法,自称为BitCrypt。...
趋势科技(中国区)技术总监蔡昇钦表示:“CryptoLocker 或是其它类似勒索软件的严重威胁在国外已经持续很久了,近两年开始在中国流行。最近我们又确认了此类威胁的两个不同变种‘TROJ_CRIBIT.A’, TROJ_CRIBIT.B。除了会对加密文件加上后缀‘.bitcrypt*’之外。其中一个变种更是使用了含中文在内的10种语言发送勒索邮件。攻击者还‘体贴’的加入了Tor2Web链接使受害者无需安装tor软件即可连接存在于DeepWeb 的web页面进行支付、解密 ”
蔡昇钦指出,此勒索程序会从各种渠道入侵用户电脑,尤其是垃圾邮件。趋势科技主动式云端截毒服务(Smart Protection Network)的资料显示,有40%的CRIBIT受害者来自美国,另外有11%来自日本。
勒索信内容如下:
注意!
你的BitCrypt ID:{交易编号}
你电脑上所有的必要文件(照片、文件、资料库和其他)都通过唯一的RSA-1024密钥加密。
只有通过一个特殊程序才能解密你的文件,而且每个BitCrypt ID都对应一个程序。
来自电脑维修服务和防毒实验室的专家无法帮助你。
为了收到解密程序,你需要遵照此链接{恶意网站#1}和跟随指示。
如果现有链接无法作用,你需要按照以下步骤恢复文件:
1.尝试打开连结{恶意网站#2}。如果失败,继续执行步骤2。
2.下载并安装Tor浏览器{Tor专案网站}
3.安装完成后,启动Tor浏览器,连接下列网址{恶意网站#3}
记住,你越快采取行动,越有机会去恢复你的文件。
除了上述情况外,TROJ_CRIBIT.B还会将桌面变成黑色背景加上白色文字,来通知用户目前状况。为了让分析更加困难,勒索软件Ransomware不会在系统内留下副本,所以很难取得样本来研究行为并确定其感染媒介。经过进一步的调查,趋势科技发现一个FAREIT信息窃取恶意软件变种“TSPY_FAREIT.BB”,它会下载“TROJ_CRIBIT.B”。这种变种还具备“从多种比特币钱包窃取信息”的能力,它会搜寻并尝试盗取文件信息。
和CryptoLocker一样,用户会被引导进入一个看来专业的网站来解密他们的文件。该网站实际上是深层网络的一部份,只能够通过Tor来连上,但攻击者已经周到的提供到Tor2Web的链接,这是一个可以让用户无须使用Tor就能连上深层网络网站的服务。他们被要求输入在勒索信中所提供的BitCrypt ID登录。(如下图)
【网站中所提供的BitCrypt ID登录窗口】
登录之后,用户被引导进入BitCrypt网页(它将自己描述为Bitcrypt软件公司),提供了用户如何回复信息的说明。然而,这需要支付0.4比特币(现在价值约等于1500元人民币)。网络犯罪分子甚至还在其网站上提供常见问答页面,如下图所示:
【网站上的常见问答页面】
BitCrypt只是我们最近所看到许多Bitcoin相关威胁中的最新一个。虽然比特币的价值已经从去年年底的巅峰下降了,但它的价值还是足够大到值得作为窃取的目标——无论是利用Bitcoin窃取恶意软件的形式(像BitCrypt),或是更大的攻击形式,例如将目标放在交易所(像是Mt. Gox和Vircurex)。
趋势科技建议比特币用户可采用“离线电子钱包”管理比特币,将电子钱包储存在一个没有网络连接且安全的地方,并经常离线备份重要信息,避免被窃取并遭到勒索。此外,用户还需要养成良好的网络安全习惯,不要随意点开未知发送者的邮件附件,也不要随意访问未知的国外站点(特别是黄色站点或是视频下载站点)。
除了以上这些措施之外,建议用户最好安装趋势科技PC-cillin 2014云安全版等信息安全软件,以进行更周密的安全防护。PC-cillin 2014云安全版软件采用了全球独家“主动式云端拦截技术”,能够主动防御并阻挡病毒入侵电脑,并在全球用户联动的环境中,实现全球威胁实时检测,甄别出隐藏的安全威胁,帮助用户安享数字生活。
(本文不涉密)
责任编辑:
下一篇:万国数据深圳福田数据中心正式开业
特别推荐
 |
站点信息
- 运营主体:中国信息化周报
- 商务合作:赵瑞华 010-88559646
- 微信公众号:扫描二维码,关注我们
