赛门铁克发现了一种新型勒索软件,这种软件伪装来自微软,利用社交工程技术欺骗受害者拨打免费电话以“重新激活”Windows。在这种情况下,重新激活Windows意味着受害者计算机将遭到解锁。事实上,我们在过去就发现过这种骗局,其是恶意技术支持和浏览器锁定勒索诈骗及技术支持勒索软件诈骗的衍生物,只不过这次用了个容易辨认的名字。
我们发现这款恶意程序(freedownloadmanager.exe)主要在美国传播,赛门铁克检测其为Trojan.Ransomlock.AT。我们发现网络攻击者在几次攻击中使用了这种恶意程序。该程序利用一个提示对话框,模仿微软Windows的商业外观(图1),并声称:
“您的Windows已过期,请拨打销售代表电话1-888-303-5121以重新获取。”
图1. 该恶意软件显示锁屏的屏幕截图
“许可”这个词在英国和加拿大用英语拼做“licence”,而在美国是拼为“license”。而且,该恶意软件中多次乱用大写、标点符号和语法。如果忽略这些因素,则受害者很可能信服,并拨打上述免费电话以寻求帮助。
该恶意软件在锁屏中还提供了TeamViewer和Logmein(两款远程控制工具)的链接。如此设计并不代表此软件有结构问题,相反这些链接可能旨在使受害者认为该软件非常专业,让其认为在计算机解锁过程中,软件另一端的话务员将(网络攻击者或其雇员)为他们提供指导。
为了获知详情,我们付费拨打了所谓的免费电话,但由于等待时间过长(我们等了90多分钟),只好将其挂断。该电话的待机音乐和语音留言也很有信服力,随机播放的音乐夹杂着偶尔重复的自动语音:“我们感谢您的支持。所有话务员目前都在忙着帮助其他来电者。请不要挂机,等待话务员为您服务。” 三十分钟后,电话传出另一条语音留言:“抱歉让您久等,感谢您的支持。请按下任何按键,以重新呼叫。”
很幸运,我们的进一步分析表明该恶意软件的开发者没有使用任何模糊技术(图2),这使得解锁码一览无余。这个恶意软件本身非常简单,与命令和控制服务器没有任何连接。
此恶意软件的受害者可使用代码: 8716098676542789将计算机解锁。
图2. 我们可在此段源代码中发现解锁代码8716098676542789
网络攻击者通过操纵搜索结果进行额外创收
直觉良好的受害者可能会对这个免费号码进行搜索,以在网络上寻找相关信息。然而,这正中网络攻击者下怀。在线粗略搜索1-888-303-5121后会出现几十个网站(图3),这些网站似乎都由网络恶意攻击机构或其成员建设而成,并伪装成合法恶意软件卸载网站。而且,这些网站使用多种让受害者恐慌的战术,以强迫毫无戒备的受害人执行以下额外的卸载步骤:
图3. 操纵搜索引擎结果
卸载建议陈腔滥调,废话连篇(图4)。
图4. 虚假网站建议卸载恶意软件的步骤
我们在过去曾发现过技术支持诈骗,而上述诈骗手段正是由此演变而来。与传统勒索软件诈骗所不同的是,网络攻击者使用了独有名称的勒索软件并对搜索结果进行操纵,仔细研究了使收益达到最大化的方法。
免遭勒索软件影响的几点建议
- 定期备份计算机上的所有文件。若计算机受到勒索软件感染,则您可在卸载恶意软件后通过备份文件对文件进行恢复。
- 及时更新网络安全软件,使自己免受任何新恶意软件影响。
- 及时更新操作系统和其它软件。软件更新通常会对新发现的安全漏洞进行修补,以防止网络攻击者对其进行利用。
- 删除所有接收到的可疑电邮,尤其是那些含有链接或附件的电邮。
- 极度小心所有电邮中的微软Office附件,这些附件可能建议您启用宏以查看附件内容。除非您完全确定邮件来自于受信任来源,否则应立即删除该电邮而不是启用宏。
保护
赛门铁克检测此最新的勒索软件为:
补充内容
如果您希望了解更多有关勒索软件构成威胁的信息,则请参见我们的白皮书《勒索软件的演变》。