網(wǎng)絡(luò)詐騙軟件近年來(lái)層出不窮�����,而且每當(dāng)研究人員找到檢測(cè)方法和防護(hù)技術(shù)時(shí)�����,它都能快速的找到躲避檢測(cè)的方法或者進(jìn)行變種�����。近日�����,Bitdefender的安全專家又披露了一種新型勒索軟件CryptoWall�����,攻擊者使用了看似安全的.Chm格式幫助文件�����。
勒索軟件CryptoWall
CryptoWall在網(wǎng)絡(luò)敲詐生態(tài)系統(tǒng)中是最為流行的一種勒索軟件,也是CryptoLocker的升級(jí)版本�����,一種通過將文件加密來(lái)勒索用戶的惡意軟件�����。通常�����,它會(huì)偽裝成無(wú)害的應(yīng)用程序或者文件�����。CryptoWall的攻擊Payload會(huì)加密受害者電腦中的文件�����,鎖住受害者的屏幕�����,讓受害者不得不“支付贖金”來(lái)解密�����。
在2014年2月至8月這6個(gè)月中受CryptoWall感染的用戶達(dá)600000個(gè)�����,收到的贖金約在100萬(wàn)美元左右�����,攻擊者每次索要的金額從100美元到500美元不等�����。
在最新變種中�����,攻擊者采取了一種低調(diào)而有效的方式�����,在受害人機(jī)器上偷偷加密正常文件�����,并主動(dòng)執(zhí)行惡意軟件。而這次CryptoWall利用的是.Chm附件�����。
.Chm文件因何變得危險(xiǎn)
.Chm文件格式是HTML文件格式的擴(kuò)展�����,它本來(lái)是一種用于給軟件應(yīng)用程序作用戶手冊(cè)的特殊文本格式�����。簡(jiǎn)單來(lái)說�����,HTML文件格式被壓縮和重整以后�����,就被制成了這種二進(jìn)制的.Chm擴(kuò)展文件格式�����。通常�����,.Chm文件格式由壓縮的HTML文件�����、圖像�����、Javascript這些文件組合而成�����,同時(shí)�����,它可能還帶有超鏈接目錄�����、索引以及全文檢索功能。
這些.Chm文件有著較多的用戶交互�����,并且采用了一系列的技術(shù)�����。其中包含的Javascript代碼自不用多說�����,它可以在你打開.Chm文件時(shí)�����,直接重定向到一個(gè)外部鏈接�����。也就是說�����,用戶只要打開一次這類文件�����,里面包含的惡意代碼就可能主動(dòng)運(yùn)行。這似乎給人一種感覺�����,即用戶交互更少的時(shí)候�����,感染的機(jī)會(huì)反而更大�����。
真實(shí)案例分析
下面這份來(lái)自內(nèi)網(wǎng)的傳真郵件樣本�����,讓我們不得不相信�����,這些郵件是為了滲透各大公司而特別打造的�����。
小編推薦閱讀
