企业要想始终立于不败之地就必须锐意进取、与时俱进,这个道理对于诈骗人员和恶意软件来说也同样适用。有时,为了联合做强,我们会在业务中借鉴利用其他业务模式的理念或方法。这种方法确实造就了不少成功案例,例如,美味的酸奶冰淇淋 (Frogurt)就源自冰淇淋与酸奶 (Yogurt) 的完美结合;每个精通《丧尸围城 3》的玩家都知道 Sledge Saw 这款合成武器的无穷威力。制造恶意软件和实施各种骗局的网络罪犯们也都希望自己的“生意”永葆长青,所以,他们有时也会相互借鉴,相互学习。最近我们就发现了一个这样的骗局,这是一起技术支持电话骗局,该骗局利用全新的勒索软件变体 (Trojan.Ransomlock.AM) 锁定用户的计算机,然后诱骗用户拨打技术求助热线解决此问题。
花开两朵,各表一枝:
勒索软件
勒索软件可分为两大类:一类只是锁定受感染计算机的屏幕,如 Trojan.Ransomlock;另一类则会在受感染的计算机上挖掘文件并对其进行加密,如 Trojan.Ransomcrypt、Trojan.Cryptowall、和 Trojan.Cryptolocker 等。
通过观察,我们发现今年勒索软件的格局发生了大逆转,加密勒索恶意软件变体的流行度超过了锁屏勒索软件变体。锁屏勒索恶意软件变体尽管看起来丧失了冠军宝座,而被加密勒索恶意软件变体抢走了风头,但它们绝不会退出舞台,因为,据我们的观测,仍会有新的伎俩时不时地加入进来,为锁屏这一勾当带来新的花样。
图 1:截至 2014 年 11 月 7 日,赛门铁克检测到的前十大勒索软件势力
技术支持骗局
技术支持骗局绝不是什么新鲜话题,它的出现可以追溯到很久以前。在此类骗局中,诈骗人员会随机给“客户”(潜在受害人)打电话,声称自己是知名软件公司的员工,并竭尽全力让“客户”相信自己的计算机充满重大漏洞或恶意软件。他们的最终目标就是通过远程访问工具进入“客户”的计算机,让“客户”相信自己的计算机真的存在问题,并接受诈骗人员的怂恿,购买假的修复工具来解决根本不存在的问题。联邦贸易委员会 (FTC) 称,此类诈骗是增长速度最快的网络诈骗之一,而且最近就破获了几起备受关注的技术支持诈骗案,并端掉了几个这样的网络犯罪集团。技术支持诈骗人员通过主动给(潜在)受害人打电话进行行骗。这意味着诈骗人员要做很多准备工作。但是,有些网络罪犯已经攻克了这一难题,想出了一个让受害人主动给他们打电话的主意。
两种手段齐上阵
最近,我们发现了一个新的恶意软件 Trojan.Ransomlock.AM。和前辈们一样,它也会锁定受感染的计算机屏幕,导致计算机显示蓝屏死机 (BSoD) 的错误消息,但这却不是一般的 BSoD!
在这个 BSoD 中,屏幕上的消息会告诉受害人,系统检测到一个问题,而且计算机的健康堪忧,要拨打屏幕上的技术支持热线才能解决这个
问题。
为了摸清对方的底细,我们拨打了这个号码,看他们到底是怎么行骗的!
图 2:假的 BSoD 锁屏
电话中,一位名叫“Brain”的支持工程师称,他们是“Falcon Technical Support”技术支持公司。电话接通后,我们发现他的行骗手法和大多数技术支持诈骗相同;但高明之处在于,他通过勒索软件让用户主动打电话给他。通话过程中,一切都已准备就绪的诈骗人员就会竭尽全力让(潜在)受害人相信自己的计算机已经受到恶意软件的感染,而这个恶意软件其实就是 Trojan.Ransomlock.AM。
图 3:骗子想出了高明的新主意
Trojan.Ransomlock.AM
据观察,Trojan.Ransomlock.AM 与灰色软件安装程序(经检测为 Downloader)绑定并通过它传播。这个安装程序可以安装一些灰色应用程序,如 SearchProtect 和 SpeedUPMyPc。
执行安装时,该安装程序会推荐安装这些灰色应用程序,同时还会释放出一个名为 preconfig.exe 的文件,而它就是这场骗局中的恶意软件安装程序(经检测为 Trojan.Dropper)。这个附加安装程序会在受感染的计算机上添加一个注册表项,当计算机重新启动时,就会运行最终的有效载体 (diagnostics.exe),即 Trojan.Ransomlock.AM。
Trojan.Ransomlock.AM 需要有 Internet 连接才能执行恶意动作。因此,它会先把受感染计算机的信息发送给命令和控制 (C&C) 服务器,例如,主机名、IP 地址、屏幕分辨率以及随机号码。然后,C&C 服务器会发回适合整个屏幕大小的大小合适的图像文件。而之前收集的信息也会让诈骗人员大获裨益,协助他们让受害人相信自己的计算机的确受到了感染,而这是其他技术支持诈骗犯尚未达到的水准。借助恶意软件、偷来的信息以及 BSoD 锁屏三大武器,诈骗人员的社会工程攻击火力大大增强。
值得庆幸的是,Trojan.Ransomlock.AM 早在九月份就被首次发现而且传播力并不高;但与其他威胁一样,这个局面很快就会发生改变。根据我们的遥测信息,目前只有美国出现了这一威胁。
赛门铁克保护
Trojan.Ransomlock.AM 还不是我们迄今见过最复杂、最顽固的勒索软件。事实上,它非常简单。计算机受感染后,表面上看像是被锁定了,但是用户可以通过下列简单几步解开屏幕锁定:
- 在键盘上,同时按住 Ctrl+Alt+Delete 键
- 打开任务管理器
- 搜索恶意软件的名字(应该是 diagnostics.exe),结束进程
- 屏幕解锁后,前往注册表编辑器,方法为:单击“开始”按钮,再单击“运行”,然后输入 REGEDIT
- 删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Diagnostics" = "[PATH TO MALWARE]"
- 目录下的文件夹也应删去
- 赛门铁克产品的用户只需执行全面扫描,即可安全删除 Trojan.Ransomlock.AM。
赛门铁克提供下列检测服务,帮助计算机抵御此威胁:
防病毒检测
赛门铁克建议用户在拨打技术求助热线或接听技术呼叫中心的电话时务必提高警惕,时刻提高防范,仔细核实对方公司的身份信息。如果您需要协助解决与计算机相关的问题,请联系值得信赖的计算机维修实体店,或者如果是您的工作计算机受感染,则联系您的 IT 支持部门。