勒索軟體演化出新手法,安全研究人員近來發現,一隻勒索軟體在網路流傳感染Windows電腦,能讓電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測。

Sophos研究團隊SophosLabs自2018年夏天發現Snatch勒索軟體,這個名稱是取自好萊塢導演蓋瑞奇(Guy Ritchie),所執導的黑色喜劇電影《偷拐搶騙》(Snatch)。今年10月再次偵測到這隻軟體時,它已演化出可在Windows電腦安全模式下運作的能力。SophosLabs認為這種能力使得這隻勒索軟體更加危險,因為安全模式下防毒軟體通常不會啟動。

經由種種線索,安全公司判斷Snatch背後是操俄語的駭客組織。分析其程式碼得知,Snatch透過暴力破解公開於網際網路的服務如RDP、VNC、TeamViewer,或以WebShell或SQL Injection手法滲透入企業網路,之後在企業內部散佈。進入受害者電腦後,Snatch會執行多種行為,像是掃瞄、竊取企業重要敏感資訊,像是電腦資訊、用戶帳號,將之整合成檔案後,上傳到攻擊者控制的C&C伺服器,在受害電腦上安裝監控程式作為日後遠端存取的入口、甚至利用電腦上的合法工具如Windows合法服務Process Hacker、IObit Uninstaller、PowerTool和PsExec呼叫批次檔案,來關閉電腦上的防毒產品。

但是研究人員指出,Snatch最危險的手法是,它會以Windows服務形式安裝在電腦中,這個服務即使在安全模式下還能執行,而且能防止遭用戶中止。接著它會使受害電腦重開機進入安全模式,利用Windows元件vss.addmin.exe刪除系統上的磁碟區陰影複製服務(Volume Shadow Copy ),藉此防止被它加密的檔案未來有復原可能。

之後,它就將受害系統磁碟上的資訊加密進行勒索,被加密的檔案都會多出.abcde的副檔名。駭客勒索的贖金從2,000到35,000美元不等。

Snatch是由Google Go撰寫而成,一般這類程式具有跨平台執行能力,但Snatch尚只能跑在Windows下,從Windows 7到10,32或64-bit版本都是它感染的範圍。某些研究樣本也以開源封裝程式UPX封裝以混淆程式碼。至今美國、加拿大和幾個歐洲國家,都有被它感染的企業通報。

Snatch一直在網路上活動,但迄今很少被偵測到,原因是其背後的俄國駭客疑似目標並不在從家庭或個人用戶勒索小錢。它也不從事大規模感染,而是採精準攻擊鎖定企業或政府部門,一次勒索大筆金額。但是由於復原機制已經破壞,因此受害者即使付了錢,也無法取回檔案。

安全公司建議,應對具有管理員權限的用戶執行多因素驗證,此外也應升級到最新版終端防護。


Advertisement

更多 iThome相關內容