【51CTO.com快譯】去年12月，以德語(yǔ)用戶，尤其是人事部門工作人員為攻擊目標(biāo)的勒索軟件RANSOM_GOLDENEYE.A被發(fā)現(xiàn)。Petya(RANSOM_PETYA)與Mischa(RANSOM_MISCHA)兩種勒索軟件的結(jié)合體GoldenEye取名于詹姆·斯邦德007系列的題目，且該勒索軟件的攻擊向量(attack vector)也如影片所述。

勒索軟件在進(jìn)入瓶頸期的威脅環(huán)境中維持著它強(qiáng)大的生命力并且多樣地變換攻擊目標(biāo)。GoldenEye通過(guò)模仿惡意軟件，反映了正在努力擴(kuò)大攻擊范圍、影響力和收益的攻擊者的活動(dòng)現(xiàn)況。

除GoldenEye以外，德國(guó)的垃圾郵件活動(dòng)、Cerber (RANSOM_CERBER)、Petya(RANSOM_PETYA)和Locky (RANSOM_LOCKY)的檢測(cè)率在逐漸增高，雖然這些惡意軟件的“標(biāo)題黨”為德語(yǔ)，但是其威脅程度與影響力對(duì)所有用戶都一樣高。

◆最近德國(guó)發(fā)生的勒索軟件事件

根據(jù)Smart Protection Network的消息，2016年1月至11月期間，勒索軟件檢測(cè)率最高的歐洲國(guó)家是德國(guó)、土耳其、意大利、西班牙與法國(guó)。

德國(guó)1/3的勒索軟件在惡意URL中發(fā)現(xiàn)，感染向量大部分(63%)是垃圾郵件。Locky相關(guān)的惡意URL在11月第二周發(fā)現(xiàn)700條以上，從11月最后一周至12月中旬被攔截和監(jiān)視的URL達(dá)到400條。GoldenEye跟Petya、HDDCryptor一樣，也可以覆蓋系統(tǒng)的MBR(master boot record，主引導(dǎo)記錄)。該勒索軟件通過(guò)偽裝成就業(yè)應(yīng)聘者信件的郵件進(jìn)行傳播，以偽裝成簡(jiǎn)歷的包含PDF文件和惡意宏(macro)的電子表格程序形態(tài)進(jìn)行傳播。

[圖1 GoldenEye傳播的附有XLS文件的垃圾郵件(右)和偽造PDF(左)]

最近在德國(guó)發(fā)現(xiàn)了又一起向潛在被害者發(fā)動(dòng)金錢劫持攻擊的惡意活動(dòng)，攻擊者制作偽裝成科隆網(wǎng)絡(luò)調(diào)查隊(duì)發(fā)送的郵件，收件人以詐騙嫌疑被起訴，誘導(dǎo)收件人打開附件。這其實(shí)是誘導(dǎo)用戶下載模仿Cerber的勒索軟件(RANSOM_ HiddenTearCerber.A)，其中包含有插入了惡意宏的Word®文件的.ZIP文件(W2KM_CERBER.DLBZY)。該模仿勒索軟件向人們展示了變型的惡意軟件是如何模仿用戶界面，利用與CryptXXX、Locky、Cerber相同的惡意軟件家族的惡名與成功為跳板來(lái)提高攻擊者們的收益的。Cerber模仿惡意軟件基于開源勒索軟件Hidden Tear制作而成，為了避開檢測(cè)制作成三段。它將128個(gè)文件類型進(jìn)行加密，查詢被感染系統(tǒng)的卷盤序列號(hào)(volume serial number)并在加密的文件中附上.cerber的擴(kuò)展名。

[圖2 Hidden Tear Cerber的勒索Memo]

◆Sharik/Smoke Loader

此外，偽裝成移動(dòng)通信公司的惡意活動(dòng)也被發(fā)現(xiàn)。包含有移動(dòng)通信公司的URL的垃圾郵件中會(huì)附有手機(jī)通知書郵件。用戶打開該壓縮的PDF文件便會(huì)感染Sharik/Smoke Loader(TROJ_SHARIK.VDA)特洛伊木馬變種。

Sharik/Smoke Loader會(huì)插入到正常的程序中并在C&C服務(wù)器中傳送系統(tǒng)信息，通過(guò)遠(yuǎn)程控制系統(tǒng)可以進(jìn)行下載其他惡意軟件或者盜用系統(tǒng)的FTP、IM、郵件客戶端與瀏覽器資格證明等惡意活動(dòng)。

[圖3 包含有Sharik/Smoke Loader的垃圾郵件]

◆形式老舊卻危害嚴(yán)重的Banking木馬

目前形式老舊的Banking木馬仍在活躍中，在德國(guó)，EMOTET (TSPY_EMOTET)、DRIDEX (TSPY_DRIDEX) 和 ZeuS/ZBOT (TSPY_ZBOT)的檢測(cè)率都在大幅上升。DRIDEX的活動(dòng)依然默默無(wú)聞，但在12月中旬檢測(cè)到250余條活躍的URL，11月檢測(cè)到有100條以上的EMOTET URL。從2007年開始反復(fù)進(jìn)化至今的Zeus/ZBOT目前也在使用大量活躍的URL，10月至12月中旬便檢測(cè)到205條URL并創(chuàng)造了最高紀(jì)錄。

ZeuS/ZBOT、EMOTET 和 DRIDEX雖然是老式惡意軟件，但目前依然被廣泛利用。運(yùn)作方式與社交工程方面有若干差異，但仍主要都用于盜取數(shù)據(jù)(竊取登陸資格證明)。該惡意軟件背后的攻擊者們直接在受害者的銀行賬戶中轉(zhuǎn)移金錢或者將竊取的數(shù)據(jù)拿到地下市場(chǎng)販賣。

◆降低危險(xiǎn)

用戶們可以通過(guò)備份數(shù)據(jù)或者停用不必要郵件中附件的宏等方式降低安全風(fēng)險(xiǎn)。需要格外注意訪問(wèn)釣魚網(wǎng)站/網(wǎng)頁(yè)或者點(diǎn)擊可疑郵件中包含的鏈接。攻擊者們通過(guò)這些方式欺騙用戶讓用戶掉以輕心誘導(dǎo)其輸入個(gè)人信息。此外，操作系統(tǒng)、軟件和APP應(yīng)用的持續(xù)更新也可以防止數(shù)據(jù)泄露和防止感染數(shù)據(jù)加密的惡意軟件。網(wǎng)銀資格證明也可以通過(guò)定期更新來(lái)緩解遠(yuǎn)程劫持與盜竊的危險(xiǎn)。

IT管理員需要掌握可疑APP、程序、網(wǎng)絡(luò)活動(dòng)和系統(tǒng)性能低下等情況并及時(shí)發(fā)送紅色警告，企業(yè)內(nèi)部也需要建立攔截出處不明的郵件等管理對(duì)策。

原文標(biāo)題：독일 랜섬웨어활동으로 본 악성코드들의 생존 방식(作者： 트렌드 마이크로)

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】