【惡意程式】勒贖軟體 – TROJ_CEEINJECT.EA 或 TROJ_CRILOCK.AF

病毒通知 – 最新勒贖軟體 (TROJ_CEEINJECT.EA 或 TROJ_CRILOCK.AF)

最近有許多使用者感染新的勒贖軟體病毒,遭到該病毒感染後,作業系統中有多種檔案會被加密,遭到感染的使用者需要支付$300美金或歐元「贖款」獲取金鑰才能將檔案解密。受害者會看到以下視窗:

clip_image002

甚至連桌面也會被鎖定而造成無法使用電腦(如下圖)

clip_image004

 

此病毒詳細資訊如下:

散播管道:

此勒贖軟體可能通過聊天工具、電子郵件、惡意網站散播,或由其他病毒釋放而來。

 

病毒行為:

1. 將自己複製後置放到下列目錄下:
%Application Data%\{隨機字母的檔案名稱}.exe
(注意: %Application Data% 是目前用戶的Application Data資料夾,在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data,在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。

2. 避免自己重複執行。

3. 會在機碼中添加自動啟動項目。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = “%Application Data%\{隨機檔案名稱}.exe"。

4. 會新增以下登錄值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files

clip_image006

其中子目錄「Files」中列出的是已被加密的檔案列表

clip_image008

5. 該病毒會連接以下網域以獲取加密的金鑰:

    gktibioivpqbot.net
    mlernipmrlrnjj.com
    lnjaadfliwshke.info
    kktvnsdykphojs.co.uk
    jmyeansxbbiibw.org
    qnamcbakhsitnw.ru
    ppfuovpjxejnoy.biz

    這些網域中任意個可連接的網址最終會指向IP位址 93.189.44.187 的伺服器。

6. 在獲取加密金鑰後以下類型檔案將被加密:
*.3fr  *.accdb  *.arw  *.bay  *.cdr  *.cer  *.cr2  *.crt  *.crw  *.dbf  *.dcr  *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf  *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb .xlsm  *.xlsx

7. 勒索者接受以下付款方式:

Bitcoin
cashU
MoneyPak
Ukash

 

防護措施:

1. 從閘道處阻止連接惡意網址(上述第五項中之網域及IP);
2. 保持防毒軟體病毒碼更新至最新;
3. 請勿隨意點閱來源不明的郵件附件;
4. 請勿隨意接收並執行聊天工具中發送的檔案(包括圖片檔或office檔案);
5. 請勿隨意瀏覽未知的國外網站,尤其是情色網站或多媒體下載網站;
6. 請定期備份重要檔案。

 

解決方法:

1. 從閘道處阻止連接惡意網址/IP

    gktibioivpqbot.net
    mlernipmrlrnjj.com
    lnjaadfliwshke.info
    kktvnsdykphojs.co.uk
    jmyeansxbbiibw.org
    qnamcbakhsitnw.ru
    ppfuovpjxejnoy.biz

    93.189.44.187

2. 目前趨勢科技最新病毒碼 10.331.00 已可偵測此類惡意程式,病毒名稱為:TROJ_CEEINJECT.EA 或 TROJ_CRILOCK.AF。
請注意:遭到加密鎖定的檔案目前仍無法解密。

3. 未安裝趨勢科技防毒軟體的使用者可至以下網站下載ATTK工具進行掃描
(請注意:此工具為使用雲端病毒碼,故電腦需連上網路才能有效掃瞄):

 

 

(本資訊源自趨勢科技電子報 2013.10.13)