据一个由安全研究人员组成的志愿者组织说,一个恶意软件开发团队正准备出售一款新的勒索软件程序,该程序会对受感染电脑上的文件进行加密,并向受害者索要钱来恢复这些文件。该组织最近几周跟踪了地下论坛上这种威胁的发展情况。
这种新的恶意软件叫做PowerLocker,它的开发很可能是受到了CryptoLocker勒索木马程序的启发感染了超过25万台电脑自去年9月以来。
和CryptoLocker一样,PowerLocker据称也使用了强加密技术,可以防止用户恢复文件,除非他们付费或有备份。然而,它也更加复杂和潜在的更危险,因为据说它的开发者打算把它卖给其他网络罪犯。
恶意软件必须死(MMD),一个致力于打击网络犯罪的安全研究小组,在11月底在一个地下论坛上发现了一个帖子,其中一个恶意软件作者宣布了一个新的勒索软件项目。这个项目最初的名字是Prison Locker,后来变成了PowerLocker。
MMD研究人员跟踪了威胁的发展,并决定在周五公布他们收集到的信息,担心如果完成并公布,新的勒索软件程序可能会造成很大的损害。该组织发表了博客几个地下论坛的截图描述了恶意软件在不同完成阶段的据称特征,以及计划的价格。
根据该恶意软件的主要开发者——一个在线身份为“gyx”的用户——的进度报告,PowerLocker由一个放在Windows临时文件夹中的文件组成。一旦它第一次在计算机上运行,它就开始加密存储在本地驱动器和网络共享上的所有用户文件,除了可执行文件和系统文件。
每个文件都使用河豚算法和一个唯一的密钥进行加密。然后使用2048位的RSA密钥对这些密钥进行加密,RSA密钥是每台计算机唯一的公私密钥对的一部分。计算机所有者将拥有公开密钥,但没有解密河豚密钥所需的相应的私有RSA密钥。
这与CryptoLocker的加密方案的实现方式类似,但PowerLocker做得更远。一旦加密阶段完成,它将禁用窗口和转义键,并阻止许多其他有用的工具,如taskmgr。exe,注册表编辑器。exe, cmd。exe,资源管理器。exe和msconfig.exe被使用。
然后,它使用Windows中的功能创建一个二级桌面,并在那里显示赎金信息。该恶意软件每隔几毫秒就会检查新桌面是否处于活动状态,并阻止用户从该桌面切换,从而使Alt+Tab快捷键和主桌面上运行的应用程序变得无关紧要。
该恶意软件还能够检测它是否在虚拟机、沙箱或调试环境中运行,这一特性旨在防止安全研究人员使用他们通常的工具分析它。
反病毒公司Bitdefender的高级电子威胁分析师Bogdan Botezatu周一在电子邮件中说,这个宣传的恶意软件,如果是真的,肯定会给已经很难对付的一系列威胁增加更复杂的层次。“从恶意软件的描述来看,它的创建者将CryptoLocker和FBI勒索软件(模仿FBI和其他执法机构的勒索软件)混合在一起,创建了一个双层锁:桌面锁和文件加密。”
CryptoLocker和PowerLocker的另一个重要区别是,新的威胁应该作为犯罪包出售给其他网络罪犯。
“虽然CryptoLocker是为特定的个人群体量身定制的,但他们称之为PowerLocker的工具是可以购买的,因此使任何编写脚本的孩子都成为潜在的攻击者,”他说。“如果这是真的,我们预计它会造成非常严重的打击。”
根据MMD分享的地下论坛消息,PowerLocker的作者与另一位开发者合作,创建了该恶意软件的命令和控制面板以及图形用户界面,并且已经非常接近完成。开发者计划以每版100美元比特币的价格出售恶意软件,每版25美元,这对于网络罪犯来说是一个非常容易接受的价格。
Botezatu说:“除了这是一个犯罪包之外,它还增加了额外的功能,比如把用户锁在盒子外面,从而使机器完全退出生产。”他说,如果病毒传播,可能会对医院电脑等关键系统造成严重问题。
Botezatu希望在今年开发和使用其他类似的恶意软件。
他说:“像GPcode这样的木马为商业勒索软件设定了标准,而FBI木马和CryptoLocker的投资回报率可能已经刺激了其他网络犯罪集团加入勒索软件包。”“勒索软件很容易赚钱,这正是网络罪犯想要的。”
今天,大多数恶意软件都是通过利用流行的软件程序的漏洞,如Java, Flash Player和其他,所以保持所有应用程序的最新,以防止感染勒索软件和其他威胁是非常重要的。
如果用户想避免向网络罪犯付钱,定期备份重要数据对于恢复文件的感染是至关重要的。然而,备份不应该存储在同一台计算机或计算机具有写权限的网络共享上,因为恶意软件也可能损坏备份。