萬聖節時除了街上途人扮鬼扮馬,連網絡上的惡意軟件也很努力「變裝」。早前有研究人員發現,單是一天之內,已經有三個濫發電郵活動散播勒索軟件Locky的更新版本。散播形式與內容都與2月大爆發的時候有所改良,令網絡使用者更加容易「中招」。
釣魚電郵發動攻擊
濫發釣魚電郵是最常見的發動攻擊手段,Locky也是其中一位使用者,三個濫發活動發出超過17,000封釣魚電郵,最大型的活動發出超過13,000封釣魚電郵,假裝成「Receipt XXX-XXX」,內裡含有一個.zip壓縮檔,解壓檔案則是一個.HTA檔案,如果不慎執行了該檔案,就會自動下載Locky病毒。
第二個濫發活動是偽裝成為一封投訴信,總共發出超過3,700封,內含一個「saved_letter_XXXXX.zip」附件,解壓後是一個Javascript檔案,同樣需要用戶執行該檔案來開始下載Locky病毒。最後一個濫發活動最小型,只送出154封電郵,內容是偽裝成為法國電視台,而且主要瞄準法國的網絡用戶,透過.WSF檔案下載Locky病毒。
Locky病毒持續進化
研究員發現這次勒索軟件Locky透過.WSF檔案傳送,似乎有參考過Microsoft的新研究,而且發現Locky的開發團隊有意把病毒傳播的形式轉移,因為.LNK比較容易被偵測Locky的下載和運行。儘管過去數月由於散播用的木馬下載器Nemucod逐漸死亡,Locky的感染數字有回落趨勢。
不過研究人員估計,感染Locky的數字下降,可能與新開發、基礎建設轉換甚至是主權轉換有關,因為Locky自今年2月以來,感染數字一直保持升勢。不過有一點可以肯定,勒索軟件Locky仍然在改良進化,從證據顯示,勒索的訊息全部重新命名為「_WHAT_is.html」,而新版Locky的加密檔案,全部都是「.shit」作為副檔名。
研究人員認為Locky改變了勒索軟件的面貌,不停迅速回應新技術,更嘗試使用不同方法傳播,更努力保持活躍,而且百折不撓。
預防勝於治療
勒索軟件的由大爆發至今已經一段時間,相信很多人對它已不再陌生,但是對它的警戒仍然不可鬆懈,因為勒索軟件仍然是款一經病發,便無藥可救的惡意程式,所以應對方法已預防為主,用戶應用安裝可靠的保安軟件進行預防,而Kaspersky Lab的產品全部具備System Watcher,只要啟動該功能,即使新款勒索軟件避過病毒定義和主動偵測,只要惡意程式進行破壞行為,System Watcher便會記下所有變更,再憑著行為判定該程式為惡意程式,並進行檔案復原步驟,為用戶的裝置把守最後一關。
資料來源:Threatpost