趨勢(shì)科技近期發(fā)現(xiàn)勒索軟件(Ransomware)新手法，自稱為BitCrypt。該勒索軟件除了加密感染電腦中的文件進(jìn)行勒索之外，還專門從當(dāng)前流行的各類電子錢包內(nèi)竊取資金、并竊取用戶電腦內(nèi)重要信息。由于這個(gè)新變種加入了中文語(yǔ)言版本，有可能將針對(duì)中國(guó)地區(qū)攻擊。趨勢(shì)科技提醒廣大網(wǎng)友，打開陌生郵件時(shí)千萬(wàn)要小心，建議比特幣用戶使用離線電子錢包、并備份電腦內(nèi)的重要資料，避免遭到勒索。目前，趨勢(shì)科技最新中國(guó)區(qū)病毒碼 10.714.60 已可以檢測(cè)并處理此勒索軟件，用戶可升級(jí)到最新病毒碼以進(jìn)行防護(hù)。

[[111812]]

趨勢(shì)科技(中國(guó)區(qū))技術(shù)總監(jiān)蔡昇欽表示：“CryptoLocker 或是其它類似勒索軟件的嚴(yán)重威脅在國(guó)外已經(jīng)持續(xù)很久了，近兩年開始在中國(guó)流行。 最近我們又確認(rèn)了此類威脅的兩個(gè)不同變種‘TROJ_CRIBIT.A’， TROJ_CRIBIT.B。除了會(huì)對(duì)加密文件加上后綴‘.bitcrypt*’之外。其中一個(gè)變種更是使用了含中文在內(nèi)的10種語(yǔ)言發(fā)送勒索郵件。攻擊者還‘體貼’的加入了Tor2Web鏈接使受害者無(wú)需安裝tor軟件即可連接存在于DeepWeb 的web頁(yè)面進(jìn)行支付、解密 ”

蔡昇欽指出，此勒索程序會(huì)從各種渠道入侵用戶電腦，尤其是垃圾郵件。趨勢(shì)科技主動(dòng)式云端截毒服務(wù)(Smart Protection Network)的資料顯示，有40%的CRIBIT受害者來自美國(guó)，另外有11%來自日本。

勒索信內(nèi)容如下：

注意!

你的BitCrypt ID：{交易編號(hào)｝

你電腦上所有的必要文件(照片、文件、資料庫(kù)和其他)都通過唯一的RSA-1024密鑰加密。

只有通過一個(gè)特殊程序才能解密你的文件，而且每個(gè)BitCrypt ID都對(duì)應(yīng)一個(gè)程序。

來自電腦維修服務(wù)和防毒實(shí)驗(yàn)室的專家無(wú)法幫助你。

為了收到解密程序，你需要遵照此鏈接{惡意網(wǎng)站#1｝和跟隨指示。

如果現(xiàn)有鏈接無(wú)法作用，你需要按照以下步驟恢復(fù)文件：

1.嘗試打開連結(jié){惡意網(wǎng)站#2｝。如果失敗，繼續(xù)執(zhí)行步驟2。

2.下載并安裝Tor瀏覽器{Tor專案網(wǎng)站｝

3.安裝完成后，啟動(dòng)Tor瀏覽器，連接下列網(wǎng)址{惡意網(wǎng)站#3｝

記住，你越快采取行動(dòng)，越有機(jī)會(huì)去恢復(fù)你的文件。

除了上述情況外，TROJ_CRIBIT.B還會(huì)將桌面變成黑色背景加上白色文字，來通知用戶目前狀況。為了讓分析更加困難，勒索軟件Ransomware不會(huì)在系統(tǒng)內(nèi)留下副本，所以很難取得樣本來研究行為并確定其感染媒介。經(jīng)過進(jìn)一步的調(diào)查，趨勢(shì)科技發(fā)現(xiàn)一個(gè)FAREIT信息竊取惡意軟件變種“TSPY_FAREIT.BB”，它會(huì)下載“TROJ_CRIBIT.B”。這種變種還具備“從多種比特幣錢包竊取信息”的能力，它會(huì)搜尋并嘗試盜取文件信息。

和CryptoLocker一樣，用戶會(huì)被引導(dǎo)進(jìn)入一個(gè)看來專業(yè)的網(wǎng)站來解密他們的文件。該網(wǎng)站實(shí)際上是深層網(wǎng)絡(luò)的一部份，只能夠通過Tor來連上，但攻擊者已經(jīng)周到的提供到Tor2Web的鏈接，這是一個(gè)可以讓用戶無(wú)須使用Tor就能連上深層網(wǎng)絡(luò)網(wǎng)站的服務(wù)。他們被要求輸入在勒索信中所提供的BitCrypt ID登錄。(如下圖)

【網(wǎng)站中所提供的BitCrypt ID登錄窗口】

登錄之后，用戶被引導(dǎo)進(jìn)入BitCrypt網(wǎng)頁(yè)(它將自己描述為Bitcrypt軟件公司)，提供了用戶如何回復(fù)信息的說明。然而，這需要支付0.4比特幣(現(xiàn)在價(jià)值約等于1500元人民幣)。網(wǎng)絡(luò)犯罪分子甚至還在其網(wǎng)站上提供常見問答頁(yè)面，如下圖所示： 

【網(wǎng)站上的常見問答頁(yè)面】

BitCrypt只是我們最近所看到許多Bitcoin相關(guān)威脅中的最新一個(gè)。雖然比特幣的價(jià)值已經(jīng)從去年年底的巔峰下降了，但它的價(jià)值還是足夠大到值得作為竊取的目標(biāo)——無(wú)論是利用Bitcoin竊取惡意軟件的形式(像BitCrypt)，或是更大的攻擊形式，例如將目標(biāo)放在交易所(像是Mt. Gox和Vircurex)。

趨勢(shì)科技建議比特幣用戶可采用“離線電子錢包”管理比特幣，將電子錢包儲(chǔ)存在一個(gè)沒有網(wǎng)絡(luò)連接且安全的地方，并經(jīng)常離線備份重要信息，避免被竊取并遭到勒索。此外，用戶還需要養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣，不要隨意點(diǎn)開未知發(fā)送者的郵件附件，也不要隨意訪問未知的國(guó)外站點(diǎn)(特別是黃色站點(diǎn)或是視頻下載站點(diǎn))。

除了以上這些措施之外，建議用戶最好安裝趨勢(shì)科技PC-cillin 2014云安全版等信息安全軟件，以進(jìn)行更周密的安全防護(hù)。PC-cillin 2014云安全版軟件采用了全球獨(dú)家“主動(dòng)式云端攔截技術(shù)”，能夠主動(dòng)防御并阻擋病毒入侵電腦，并在全球用戶聯(lián)動(dòng)的環(huán)境中，實(shí)現(xiàn)全球威脅實(shí)時(shí)檢測(cè)，甄別出隱藏的安全威脅，幫助用戶安享數(shù)字生活。