勒索病毒又有新花样，小心你的隐私和财产安全！

Cryptolocker 是 Ransomware 的一个分支，具有文件加密功能，出现于 2013 年 10 月。自发现以来，它不断发展，增加了新的策略和技术来避免被发现，并说服无辜用户支付赎金以换取他们的文件.

加密储物柜勒索软件

趋势科技最近发现了一种名为 Cryptolocker 的勒索软件变体，检测为 TROJ_CRITOLOCK.A。 这个名为Cryptographic Locker - TROJ_CRITOLOCK.A的勒索软件是用MSIL编译打包的，这意味着它需要.NET Framework才能运行，这与之前的Cryptolocker不同。

TROJ_CRITOLOCK.A对扩展名为DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX、TXT等的文件进行加密，然后将这些加密文件重命名为{原始文件名和扩展名}._clf。 它使用特定版本的 Rijndael 对称算法，这与 Cryptolocker 使用的非对称算法不同。

图 1. TROJ_CRITOLOCK.A 使这张墙纸出现在中毒系统中

据趋势科技分析，一旦TROJ_CRITOLOCK.A对中毒系统上的文件进行加密，就会出现如下信息，提示用户文件已加密，并要求用户支付比特币赎金，以获得“隐私”钥匙”。 比特币价格来自C&C服务器发送的包含比特币地址的数据包（封装数据包）。 当测试人员尝试用TROJ_CRITOLOCK.A感染服务器时，还出现了如下信息，提示用户文件已被加密，按照提示用比特币支付赎金后，伪装成黑客的测试人员也收到了0.2 比特币赎金。

图 2. 要求用户用比特币支付赎金

该恶意软件还会在受感染的计算机上随机生成“密钥”和“初始化载体”，然后将这些数据信息发送至其C&C服务器。 同时，它还会收集一些系统信息并连接到特定的网站收发信息比特币敲诈邮件隐私，从而影响系统的安全。 此外，它还会终止几个程序。

Cryptolocker的演变

自 2014 年以来，我们发现了其他加密勒索软件，例如 Cryptobit、CryptoDefense、CryptoWall、POSHCODER、Cryptoblocker 和 Cryptoni/Critoni。 趋势科技将第一个版本的 Crypolocker 检测为 CRILOCK。 我们发现的最新变体是批处理文件勒索软件，检测为 BAT_CRYPTOR。 每个变体都有其独特或独特的行为。

Cryptobit要求用户使用Tor浏览器，这样可以掩盖网络中的恶意活动，达到躲避的目的。 另一方面，Cryptodefense 显示一个网页，其中包含告诉用户如何通过 Tor 浏览器进入支付页面的说明。

图 3. Cryptodefense 上出现一个网页，指导用户如何支付赎金

Cryptowall 使用记事本程序打开了勒索字条，其中包含通过 Tor 浏览器访问支付页面的说明。 Crytolocker 的早期版本有一个图形界面来提供支付信息。 CRITONI 和 Cryptoblocker 具有类似于 Cryptolocker 早期版本的 GUI 和壁纸。

图 4. CRITONI 图形界面

5 月，出现了一种名为 POSHCODER 的勒索软件，它利用 Windows 的 PowerShell 功能进行加密。 网络罪犯和威胁行为者都使用此功能来避免在目标系统和网络中被发现。

同月，我们还发现了第一个移动勒索软件，检测为 ANDROIDOS_LOCKER.HBT，它使用 Tor 浏览器，类似于其他加密勒索软件变体。 它是作为虚假应用程序创建的 - “Sex xonix”，可在第三方应用程序商店下载。 8月，又一款手机勒索软件ANDROIDOS_RANSOM.HBT出现，除自身外所有应用程序全部终止，并加密SD卡数据。

图 5. Cryptolocker 变体出现的时间线

最佳实践

鉴于这些演变，趋势科技认为勒索软件仍然是用户和企业在保护其系统和设备时需要注意的首要安全威胁之一。 强烈建议用户不要屈服并支付赎金比特币敲诈邮件隐私，这可能会进一步鼓励犯罪分子继续他们的恶意行为。 使用完整的安全解决方案来备份个人数据、图片和重要文件以检测此类威胁也是一种很好的做法。

此外，用户应了解勒索软件威胁的本质，只有充分了解，才能确保数据和系统的长期安全。