今年2月初,比利时警方缴获了臭名卓著的Cryakl加密恶意软件的命令和控制服务器。不久之后,他们将缴获的私匙交给我们的专家,后者利用这些私匙更新了免费的用于恢复被这种恶意软件加密的文件的RakhniDecryptor工具
今年2月初,比利时警方缴获了臭名卓著的Cryakl加密恶意软件的命令和控制服务器。不久之后,他们将缴获的私匙交给我们的专家,后者利用这些私匙更新了免费的用于恢复被这种恶意软件加密的文件的RakhniDecryptor工具。这种肆虐俄罗斯(通过其合作伙伴还感染其他地区)多年的勒索软件终于被终结了。
对卡巴斯基实验室来说,这次的胜利是对Cryakl进行超过三年监控以及研究其多种变种的结果,通过不断努力最终打败了网络罪犯。这个故事清晰地表明了合作最终会获得更好的结果。
今年春天是这种恶意软件首次攻击四周年。在勒索软件活动普遍下降的背景下(见我们的报告),我们决定回到Cryakl的话题上,详细介绍一下这种濒临灭绝的物种中最引人瞩目的成员之一是如何进行的。
我们初次遇到Cryakl是在2014年春天(当时还不确定它是什么)。当时这种恶意软件刚刚开始主动传播,主要通过垃圾邮件进行传播。最初,包含这种恶意软件的附件在据称来自俄罗斯联邦最高仲裁法院的各种违法行为的电子邮件中被发现。但是不久之后,这种垃圾邮件也开始在各种组织和机构中出现,尤其是房主协会。
典型的恶意邮件包含以下类型之一的附件:
● 具有恶意宏的Office文档
● 能够载入木马的JS脚本
● 包含指向可执行文件链接的PDF文档
大约是在这个时候这种恶意软件会获得绰号:在加密用户硬盘上的文件之后,有一种Cryak变种(Trojan-Ransom.Win32.Cryakl.bo)会将计算机桌面更改为一张Fantomas的图片,他是1964年的一部同名的法国电影中的反派。
之后在2016年,我们发现这种勒索软件进行了一个有趣的修改,采用了相当狡猾的传播模式。今天,利用专门的第三方软件实施攻击肯定会引起人们注意,但是在2016年情况却不是这样。Fantomas以一款常用的俄罗斯会计程序和一款商业流程管理工具的脚本进行传播。这种传播手段的确非常隐蔽:企业员工会收到一条要求“更新银行分类器”的邮件,所以他们会打开附件中的可执行文件。
攻击媒介也不让人感到惊讶,由于Cryakl主要对俄罗斯的用户进行攻击,大多数赎金要求都是用俄语写的。但是,进一步的研究显示,传播Fantomas的网络罪犯并没有将自己限制在俄罗斯市场。
2016年,我们观察到具有勒索软件性质的加密恶意软件在复杂性和多样性方面有所增加,包括出现了为那些没有技能、资源或时间创建自己的技术的人提供现成的解决方案,例如勒索软件服务(RaaS)。这些服务通过不断扩大且影响越来越大的地下生态系统进行传播
这是Cryakl的制作者选择的商业模式:邀请“合作伙伴”来购买恶意软件,对其他地区的用户进行攻击,从而让其作者对产品进行第二次变现。
在扩展其基础设施过程中,Cryakl也拓宽了其攻击地理范围。从第一次感染到现在,俄罗斯有超过50,000名用户遭受到Fantomas的危害,此外还有数千名来自日本、意大利和德国的受害者。
多年来有关Cryakl活动的数据显示,这种威胁的最初活动开始于2014年。
当RaaS传播模型部署的时候,Fantomas感染大规模爆发期攻击数量增长了6倍。
尽管数量庞大,而且变种众多,并且使用“合作伙伴”,还具有很长的历史,但不能说这种恶意软件经历了重大变化——不同版本的变种的差异非常小。这使得判断和识别Fantomas的主要特征成为可能。
网友评论