勒索軟體全球熱!奪魂鋸也插一腳!

2016-5-26

 

 

為了要讓受害者掏錢出來,加密勒索軟體也是無所不用其極。

Forcepoint近來發現了一則難纏的加密勒索軟體叫做BitcoinBlackmailer.exe或者是JIGSAW(電鋸),這不經讓人聯想到《奪魂鋸》這部恐怖電影。這項惡意程式會將受害者的檔案加密產生.FUN的副檔名,然後開始玩起倒數計時刪除檔案的遊戲。運用時間限期和《奪魂鋸》鬼臉木偶比利的圖片來製造受害者心理上的恐懼和壓力,逼其妥協就範乖乖掏錢出來:

 

 

以下是我們記錄勒索軟體在受感染電腦上呈現的運作訊息:

透過.NET編輯,我們發現到可對惡意軟體進行逆向分析。這項斬獲讓我們得以查找出惡意軟體用於加密檔案的加密金鑰(黃色標示部分) :

 

案例分析

冷靜應對處理。千萬不要指望惡意軟體開發者良心發現,要清楚明白對方目的就是勒索要錢,這個行為無論是在法律層面或是道德方面都是不容允許的。不過,從受害者的角度來看,被勒索軟體要脅,顯然是一段令人十分不愉快的經歷,但切記不要太過驚慌或躁進。因為,對方就是想利用恐怖電影結合倒數計時的心理壓力,來脅迫受害者盡快交付贖金。

留意比特幣位址。Forcepoint逆向分析不單只是取得寫死的加密金鑰,也包含了100組用於交付贖金的比特幣位址。這些資訊都會與我們信任的合作夥伴共享。

程式編碼規範。惡意軟體開發者雖明確地試圖混淆自身的.NET編碼以阻攔分析。但Forcepoint安全實驗室擁有現下所有惡意軟體的原始碼,加以分析比對便查找出關鍵的相同點。

防護機制

Forcepoint™透過TRITON®ACE保護客戶免於此類型的威脅攻擊,並在以下的攻擊分析階段發揮有效保護:
‧ 第5階段(植入)- 偵測並封鎖JIGSAW惡意程式掛載。

2016/4/21 更新:另請參閱以下連結的進一步分析:
https://blogs.forcepoint.com/security-labs/jigsaw-some-missing-pieces

選擇Forcepoint™有效抵禦複雜的多階段攻擊,確保企業智慧財產的安全,勇敢面對充滿挑戰的資安新世界。了解更多Forcepoint™產品列表及詳細功能說明,請洽Forcepoint專業代理 - 湛揚科技02-2735-3512,或參閱湛揚科技官網Forcepoint™專區

資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。

文章出處:Piecing Together the JIGSAW Puzzle