勒索软件新变种：不给赎金永久加密被绑文档！

Sammi888

  近期，趋势科技在打击网络犯罪方面取得了很大胜利，例如最近中断GAMEOVER ZeuS网络殭尸病毒，但类似的网络犯罪活动还是时有发生。近日，趋势科技发现了新的勒索软件，它是通过使用新的加密和回避方法的勒索软件Ransomware变种。

Cryptoblocker和它的加密技术
和其它勒索软件Ransomware变种一样，这种被侦测为TROJ_CRYPTFILE.SM的Cryptoblocker恶意软件会加密一定数量的档案。不过这个变种有一定的限制：首先，它不会感染大于100MB大小的档案。此外，它也会跳过文件夹C:\\WINDOWS，C:\\PROGRAM FILES和C:\PROGRAM FILES (X86)内的档案。
不像其它勒索软件Ransomware变种，Cryptoblocker不会产生任何文本文件来指示受害者如何解密档案。它会显示如下图的对话框，输入交易ID到文字框内会产生一个反馈信息：“交易已被发送，很快就会得到验证。”

（图1、对话框）
另外这款勒索软件的加密方式不是使用CryptoAPIs，而是使用了升级加密标准（AES），这与其它勒索软件Ransomware有着明显不同，因为RSA密钥会让解密档案更加困难。
如果你足够细心，解开程序代码时还会发现编译批注。通常编译批注会被删除，因为这些数据可以被安全研究人员用来侦测（进而封锁）来自该恶意软件作者的个人档案。出现编译批注，很可能表示Cryptoblocker背后的犯罪分子是开发勒索软件的新手。
根据趋势科技主动式云端截毒服务Smart Protection Network的反馈数据显示，可以看出美国是受影响最大的国家，其次是法国和日本，加上西班牙和意大利。这五个国家是受影响最大的。

（图2、受Cryptoblocker影响的国家）
Critroni以及Tor的使用
由于Tor可以匿名进行TCP传输，因此经常被网络犯罪分子利用，从而掩盖他们的恶意活动和躲避执法单位。近期，趋势科技侦测到TROJ_CRYPCTB.A的变种（又被称为Critroni或Curve-Tor-Bitcoin (CTB) Locker），也是使用Tor来掩盖其指挥和控制信息。当你的电脑被加密勒索软件感染后，恶意软件会将计算机桌面换成下面的图片：

（图3、所显示的桌面）
    它还显示了赎金信息。使用者必须在一定期限内通过比特币支付赎金，否则所有档案将永久保持加密状态。

（图4、赎金信息）
BAT_CRYPTOR.A使用合法应用程序
这个被侦测为BAT_CRYPTOR.A的变种，使用GNU Privacy Guard应用程序来加密档案，即使系统不具备GnuPG，这个恶意软件仍然会执行加密行为。作为其感染行为的一部分，该恶意软件会植入GnuPG副本以用来加密。
这个恶意软件会删除%appdata%/gnupg/*，这是生成密钥储存的目录。接着，它会用genkey.like生成两把新密钥：一把公钥（pubring.gpg），另一把是私钥（secring.gpg）。
公钥会被用来加密系统上的档案，可以解密档案的私钥却留在受影响的系统上。然而，该私钥也会被加密，这让解密变得更加困难。
小心的重要性
这些勒索软件Ransomware变种证明，尽管犯罪活动被严重打击，但网络犯罪分子仍在千方百计想办法进行诈骗等不法活动。趋势科技提醒广大用户，在处理不熟悉的文档、电子邮件或网址链接时都要特别的小心。
另外，建议大家尽量使用防护性能强大的安全软件来保护自己的电脑文档，如使用趋势科技PC-cillin2014云安全软件为您的隐私进行安全防护。

jkshare

好办法啊
钱途无量啊