勒索病毒TorrentLocker 變種,利用 Dropbox 帳號散布

為何 TorrentLocker 勒索病毒最新變種,大多集中在平日出現，周末會暫時消失。上午 9 點至 10 點之間的感染數量會突然飆高?

TorrentLocker 勒索病毒在沉寂了好一陣子之後最近又開始活躍起來，出現了多個新的變種 (趨勢科技命名為 RANSOMCRYPTLOCK.DLFLVV、RANSOMCRYPTLOCK.DLFLVW、RANSOMCRYPTLOCK.DLFLVS 及 RANSOMCRYPTLOCK.DLFLVU)。這些新的變種會利用 Dropbox 帳號來散布，印證了我們的 2017 年預測：勒索病毒將持續演化出新的攻擊管道。

儘管 TorrentLocker 勒索病毒已過了它的巔峰期，但它至今依然活躍，而且由於偵測率不高，因此歹徒一直能夠暗中攻擊不知情的受害者。

假冒供應商，寄送含Dropbox 連結的發票下載點

TorrentLocker的最新變種在行為上與趨勢科技之前所偵測到的類似，主要的差異只在於散布方式，以及惡意程式執行檔的包裝方式。

比方說，新的 TorrentLocker 變種在攻擊時，會先假冒受害者的供應商，用電子郵件寄一份發票給受害者。而這份「發票」不是隨信附上，而是透過一個 Dropbox 連結來下載。除此之外，為了增加郵件的真實性，郵件內容還包含了帳單、發票和帳戶編號等資訊。TorrentLocker之所以使用 Dropbox 連結，就是為了躲過郵件閘道防護產品的偵測，因為郵件當中不含附件，而是使用指向正派網站的連結。

![](https://blog.trendmicro.com.tw/ http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/03/torrentlocker-ransom-note.jpg)

圖 1：TorrentLocker 網路釣魚郵件樣本。

使用者一旦點選了郵件中的連結，就會下載一個 JavaScript 檔案 (JS_NEMUCOD) 到電腦上，這就是假發票。當使用者試圖開啟這份假發票時，會再下載另一個經過編碼的 JavaScript 檔案到記憶體中，進而下載 TorrentLocker 的惡意程式碼到系統中執行。

新的 TorrentLocker 變種有一項不同之處是其檔案會包裝成 NSIS 安裝檔以躲避偵測，一些其他常見的勒索病毒也使用同樣的技巧，如：CERBER、LOCKY、SAGE 和 SPORA。

8天內偵測到 54,688 封含有 Dropbox 連結的垃圾郵件，分散在 815 個不同的 Dropbox 帳號

從 2017 年 2 月 26 日至 3 月 6 日這段期間，趨勢科技的 Smart Protection Network 偵測到 54,688 封含有 Dropbox 連結的垃圾郵件，分散在 815 個不同的 Dropbox 帳號。此項威脅絕大多數都出現在歐洲，尤以德國和挪威的比率最高。挪威境內的威脅在二月底到達高峰，三月初開始慢慢轉移到德國。此外，威脅大多集中在平日出現，周末會暫時消失。而且我們發現上午 9 點至 10 點之間的感染數量會突然飆高，這剛好是每天的上班時間左右，因此很可能是因為員工剛進辦公室開始看信的緣故。由於企業經常使用 Dropbox 來管理及傳送檔案，因此員工很容易因為缺乏戒心而受騙開啟信中的連結。

圖 2：威脅密集出現的時間。

圖 3：威脅分布地區。

目前，趨勢科技正與 Dropbox 密切合作來解決這項問題。根據 Dropbox 資安團隊表示，在消息發布當時，所有相關的惡意檔案都已全部撤下，而相關的使用者帳號也都已遭封鎖。

防範 TorrentLocker

有鑑於 TorrentLocker 新變種與其他類似勒索病毒所採用的欺騙手法，企業應該格外小心提防社交工程攻擊。首先，企業應教育員工如何防範網路釣魚，時時提防可疑的電子郵件，例如：仔細查看寄件人的姓名及郵件內隨附網址顯示的文字是否與實際相符。事實上，我們建議一般使用者最好盡量避免下載附件檔案或點選郵件中的連結，除非確定郵件的來源百分之百可靠。

除此之外，使用者也應採取一些額外步驟來備份資料，例如 3-2-1 原則：至少 3 份備份、2 種儲存媒體 (本機硬碟和隨身碟)、1 份放在其他地點保存。

趨勢科技解決方案

除了養成上述良好習慣之外，趨勢科技客戶還可利用以下產品來進一步防範 TorrentLocker 這類勒索病毒。

面對這類威脅，光是被動回應是不夠的，有策略的規劃和主動的多層式防護，並且完整涵蓋閘道、端點、網路及伺服器，才能大幅提升安全。

採用 XGen端點防護的趨勢科技 OfficeScan™結合了機器學習、行為分析與傳統方法，能有效偵測並攔截勒索病毒。我們已針對前述惡意程式測試過這些技術，證明確實能夠主動防範上述威脅。

趨勢科技 Cloud App Security 可為 Dropbox Business 帳號提供進階惡意程式防護，防範 TorrentLocker 這類威脅。 Cloud App Security 可在虛擬的沙盒模擬環境當中動態觸發並檢查可疑檔案的行為，而非只靠靜態特徵比對。它採用的是通過市場考驗的趨勢科技 Deep Discovery沙盒模擬分析技術，此技術已榮獲 NSS Labs 評選為「最有效且推薦的入侵偵測系統」(Most Effective Recommended Breach Detection System)。

趨勢科技端點解決方案，例如趨勢科技趨勢科技 Smart Protection Suites 與 Worry-Free Pro可讓使用者和企業偵測惡意檔案及垃圾郵件，攔截所有相關的惡意網址以防範上述威脅。此外還有趨勢科技 Deep Discovery 可提供一道額外的電子郵件檢查，幫助企業偵測惡意的附件和網址。

TippingPoint 客戶可利用下列 MainlineDV 過濾條件來防範這項威脅：

21354: TLS: ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TorrentLocker CnC)
30623: TLS: Suspicious SSL Certificate (DGA)

以下是此威脅相關的 SHA256 雜湊碼：

0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f (趨勢科技命名為：JS_NEMUCOD.THCOF)
1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVV)
aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVV)
5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVW)
efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVU)
287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVU)
ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVU)
1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVS)
1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVS)
028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVS)
98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVS)
f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 (趨勢科技命名為：Ransom_CRYPTLOCK.DLFLVS)
原文出處：TorrentLocker Changes Attack Method, Targets Leading European Countries 作者：Jon Oliver (資深架構師)