TrueCrypter勒索软件允许使用亚马逊礼品卡作为“赎金”

有些勒索软件其解锁和恢复文件的步骤是非常简单的,而如果操作不当的话,有的勒索软件则会让你损失所有的数据。“勒索软件”是近年数量增加最快的网络安全威胁之一,黑客通常为隐藏踪迹而要求用户以电子货币方式支付赎金,以换取解密电脑数据所需电子“秘钥”。据估计,黑客借助此类软件每年可获得数亿美元的非法收入。

近期,安全研究人员发现了一款新型的勒索软件,它就是TrueCrypter。这款勒索软件的开发者大胆地选择了亚马逊礼品卡来作为数据的“赎金”,这也就意味着,用户可以选择使用亚马逊礼品卡来支付解密数据时所需的“赎金”。

然而,奇怪的是,用户实际上并不用向攻击者支付任何费用。因为当用户点击了“支付”按钮之后,TrueCrypter勒索软件既不会提交任何的支付信息,也不会返回任何的支付结果。而且用户什么都没有做,那些被加密的文件就会自动进行解密。

黑客可以用勒索软件来劫持用户资产或数据资源,并以此为条件向用户勒索钱财。勒索软件通常会将用户系统中的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之处于一种不可用的状态,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

Jakub Kroustek是安全公司AVG的一名逆向工程师和恶意软件分析师,他是第一个检测到TrueCrypter勒索软件的人。他认为,从某种程度上来说,TrueCrypter只是一个普通的勒索软件样本。

Bleeping Computer网站的Lawrence Abrams解释称,当TrueCrypter首次安装之后,它会检测它目前是否是在系统沙盒之中运行。如果它没有在沙盒中运行,它便会搜索“antilogger”,“wireshark”,“fiddler”以及其他的进程,因为这些进程全部与安全防护软件有关。如果勒索软件发现了上述任何一个进程正处于运行状态的话,那么它就会尝试终止这个进程。否则勒索软件的进程将会直接崩溃,因为勒索软件中没有相应的错误处理机制。

安全研究人员在对这款勒索软件进行了分析和测试之后,发现勒索软件使用了Caesar-21编码的字符串,并会用其来加载控制命令以及控制服务器(C&C服务器)的配置信息。这些控制信息包括服务器的IP地址,比特币地址,以及其他的一些控制信息。然后,它便会利用AES-256加密算法来对目标用户硬盘驱动器中的数据进行加密。在加密完成之后,还会在每一个文件名的末尾添加一个“.ENC”后缀。最后,在将勒索信息显示给目标用户之前,它还会将所有卷宗下的数据副本全部删除。

如果用户感染了这款勒索软件,那么勒索软件会给目标用户提供两种支付方式:比特币,或者亚马逊礼品卡。

亚马逊礼品卡可以算得上是一个非常奇怪的支付方式。与比特币不同,亚马逊礼品卡并不是匿名的,亚马逊公司可以轻易地对这些礼品卡进行跟踪和鉴定。所以这对于TrueCrypter的开发者来说,风险是非常大的,而且也很容易被发现。

而且更加奇怪的是,TrueCrypter并不是唯一一款可以使用礼品卡来作为数据“赎金”的勒索软件。在最近几周,安全研究人员还发现了其他几款采用了同样机制的勒索软件。

就在上个月,网络安全公司Blue Coat的安全研究专家发现了一款名为“Cyber.Police‘的勒索软件,这是一款安卓端的恶意软件,它可以破坏勒索软件的加密模块:

这款勒索软件其实并不会对目标用户的数据进行加密。相反,这款勒索软件会将受感染的设备锁定,处于锁定状态的设备将无法被使用。用户必须向犯罪分子提供两个价值一百美金的苹果iTunes礼品卡兑换码,才可以解除手机的锁定状态。这种情况是非常罕见的,因为现在大多数的勒索软件都会要求用户以无法追踪的加密货币来进行赎金的支付,例如比特币。从理论上来说,如果犯罪分子使用了这些礼品卡的话,苹果公司是有可能追踪到他们的。这也就意味着,警方将有可能利用这些信息来找到这些犯罪分子。

允许受害者使用亚马逊或者苹果iTunes的礼品卡作为赎金的支付方法,也许并不是攻击者的最终目的。但是从某种程度上来说,这也表明在目前的勒索软件开发领域中,还有很多经验不足的业余开发人员。

Blue Coat公司的安全研究人员发现,即便是安卓设备被恶意软件Cyber.Police感染了,他们仍然能够从设备的内部存储空间内拷贝出未被修改的文件。除此之外,他们还发现,在设备恢复了出厂设置之后,这一勒索软件就会消失。

TrueCrypter甚至更加的夸张。当用户点击了“支付”按钮之后,勒索软件会将txtTransactionId中的文本信息与公共密钥一起发送给服务器。然后,它便会对服务器返回的私钥进行循环检查(频率为每分钟检测一个密钥)。

但是,如果服务器处于脱机状态,或者请求结果发生错误的话,例如请求超时、防火墙屏蔽,或者用户下线,那么循环检测将会停止。随后,勒索软件会对当前状态进行一次检测,然后就会开始解密,而解密所需要的密钥就是系统返回的错误信息。

在安全研究人员对攻击者的服务器进行了分析之后发现,在过去的几天时间里,只有部分数据可以成功抵达服务器,而且大约有百分之四十左右的请求会超时。如果用户在按下“支付”按钮的时候足够幸运的话,数据正好可以抵达服务器,那么服务器就会将解密数据所需的私钥返回给用户,这就会使得勒索软件免费帮用户解密数据了。

这可以算得上是一个好消息了。对于那些感染了这款勒索软件的用户而言坏消息就是,当服务器处于脱机状态时,即便是用户向犯罪分子支付了赎金,用户也无法恢复他们的文件。

请大家一定要记住,时时刻刻都要提前做好预防措施,不要等到计算机被恶意软件感染了之后再去想办法。

用户可以利用分层的安全防护体系来保护计算机和数据的安全,定期备份系统中的关键数据,并且将重要的数据保存在其他独立的设备中,防止勒索软件感染这些设备。最重要的一点就是,大家在打开任何文件之前,都必须要小心谨慎。