到了2021也別鬆懈,Trend Micro警告Crysis勒索病毒仍在傳播中

到了2021也別鬆懈,Trend Micro警告Crysis勒索病毒仍在傳播中

ADVERTISEMENT

資安廠商Trend Micro(趨勢科技)日前在部落格提到,他們發現Crysis勒索病毒透過Negasteal惡意程式的變種,並經由無檔案病毒方式傳播,造成新一波資安威脅。

仍需提防勒索病毒

根據Trend Micro近期的研究發現,攻擊者透過稱為Agent Tesla的Negasteal惡意程式變種,透過Hastebin程式碼共享平台,無檔案病毒(Fileless Malware,例如透過程式漏洞直接將惡意Script直接寫入記憶體,並偷偷執行指令)的方式散布Crysis勒索病毒。

其中Negasteal是早在2014年就發現的間諜程式,以付費訂閱的模式在網路犯罪地下論壇流通,Crysis則是不斷推出變種的勒索病毒,一樣以收費方式經營,提供勒索病毒服務(Ransomware as a Service,RaaS)供犯罪集團使用。

研究人員表示這是他們第一次看到結合這2種惡意程式,它會透過釣魚郵件散播,並將自己加入Windows的啟動(Startup)資料夾與登錄檔的「CurrentVersion\Run」機碼,並連上Hastebin讀取Crysis二進位執行檔,進而以無檔案方式感染目標電腦。

這組惡意程式搭擋會透過釣魚郵件散播。(圖片來源Trend Micro,下同)

惡意程式會嘗試停用Windows Defender,或將自己排除在檢查名單之外。

接著惡意程式會將自己加入啟動資料夾以及登錄檔。

成功植入電腦後,惡意程式將連上hastebin.com取得Crysis勒索病毒。

受感染的電腦會下載Crysis相關檔案。

由於無檔案的散播方式在執行之後不會留下痕跡,讓威脅更難以清除,因此Trend Micro建議可以從源頭防治,透過電子郵件閘道篩檢釣魚郵件,同時保持定期備份檔案的好習慣,以降低勒索病毒的危害。

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則