Symantec:新型勒索软件又来袭

一种新型的仿照微软Windows激活窗口的勒索软件ransomlock正在美国悄悄蔓延,诱骗用户拨打免费电话重新激活Windows。

赛门铁克发现了一种伪装来自微软的新型勒索软件,这种勒索软件会利用社会工程学诱骗用户拨打免费电话重新激活Windows,在这样的情况下,重新激活Windows意味着用户电脑会解锁。但是,我们在过去就发现过这样的骗局,这个臭名昭著的技术支持和浏览器锁定的骗局其实是勒索诈骗的一个分支,只不过这次用了一个容易辨认的名字。

这款恶意程序(freedownloadmanager.exe)主要在美国传播,赛门铁克检测其为Trojan.Ransomlock.AT,在几次攻击中都发现了这种恶意程序。该程序利用一个对话提示框,仿照微软Windows的商业外观,如图1所示,并附有一段话:

“您的Windows已过期,请拨打销售代表电话1-888-303-5121获取新的许可证。”

Ransomware MS window 1 edit

图1 恶意软件显示锁屏的屏幕截图

许可证英文拼写是“licence”,与美国的“license”还是有点差别,并且乱用大写、标点符号和语法等,如果用户不注意,则可能拨打电话。恶意软件还在锁屏界面提供了TeamViewer和Logmein的链接,但是这不是恶意软件的设计问题,从某种意义上来说,用户可能会觉得这个软件会非常专业。用户可能会相信电话的另一端(攻击者或其他人)的人能指导解锁计算机。

为了解更多信息,我们拨打了上述免费电话,但是等了接近90分钟都没有人接听,最后不得不挂断电话。电话的待机音乐和语言留言也是会让人相信电话是真的,并且偶尔会自动播放重复的语音,“我们非常感谢您的支持,所有话务员正在忙着接听其他来电,请不要挂机,等待话务员为您服务。”三十分钟后,我们接到了另一条语音留言,“抱歉让您久等,感谢您的支持。请按下任何按键,以重新呼叫。”

幸运的是,通过进一步分析表发现,该恶意软件的开发者没有使用任何混淆技术,如图2所示,从图中可以直接看到解锁码,所以,这个恶意软件本身非常简单,没有与C&C交互。

此恶意软件的受害者可使用代码: 8716098676542789将计算机解锁。

Ransomware MS window 2 edit

图2 在源码中发现的解锁码

攻击者通过操纵搜索结果获取额外收益

如果用户发现这个电话不太对,可能会上网搜索关于这个号码的信息,这对于攻击者来说,正中下怀。粗略搜索1-888-303-5121之后,发现了十几个网站,如图3所示,这些网站似乎是攻击者自己架设的,伪装成提供帮助的网站,让用户安装网站上的信息来卸载恶意软件,如果用户不之情,就会执行网站上的卸载步骤。

Ransomware MS window 3

图3 攻击者操纵的搜索结果

从图4可以看到,卸载软件的建议废话连篇,一点都不专业。

Ransomware MS window 4 edit

图4 虚假网站卸载恶意软件的步骤

赛门铁克在过去曾经发现技术支持的诈骗,而上述的诈骗就是由此演变而来的,与传统勒索软件诈骗所不同的是,攻击者通过仔细研究,利用独有名称的勒索软件并对搜索结果进行操纵,使收益最大化。

避免恶意软件影响的几点建议:

  • 定期备份计算机上的所有文件。以防计算机被勒索软件感染,还可以在卸载恶意软件后通过备份文件对文件进行恢复。
  • 及时更新网络安全软件,使自己免遭任何新恶意软件影响。
  • 及时更新操作系统和其它软件。软件更新通常会对新发现的安全漏洞进行修补,以防止攻击者对其进行利用。
  • 删除所有接收到的可疑邮件,尤其是那些含有链接或附件的邮件。
  • 对微软Office的附件要格外当心,这些附件可能会建议启用宏来查看附件内容。除非能完全确定邮件来自受信任来源,否则应立即删除该邮件。

赛门铁克检测此最新的勒索软件为:

*来源:Symantec,转载请注明来自MottoIN

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/news/86929.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code