網絡詐騙軟件近年來層出不窮��,而且每當研究人員找到檢測方法和防護技術時��,它都能快速的找到躲避檢測的方法或者進行變種��。近日��,Bitdefender的安全專家又披露了一種新型勒索軟件CryptoWall��,攻擊者使用了看似安全的.Chm格式幫助文件��。
勒索軟件CryptoWall
CryptoWall在網絡敲詐生態(tài)系統中是最為流行的一種勒索軟件��,也是CryptoLocker的升級版本��,一種通過將文件加密來勒索用戶的惡意軟件��。通常��,它會偽裝成無害的應用程序或者文件��。CryptoWall的攻擊Payload會加密受害者電腦中的文件��,鎖住受害者的屏幕��,讓受害者不得不“支付贖金”來解密��。
在2014年2月至8月這6個月中受CryptoWall感染的用戶達600000個��,收到的贖金約在100萬美元左右��,攻擊者每次索要的金額從100美元到500美元不等��。
在最新變種中��,攻擊者采取了一種低調而有效的方式��,在受害人機器上偷偷加密正常文件��,并主動執(zhí)行惡意軟件��。而這次CryptoWall利用的是.Chm附件��。
.Chm文件因何變得危險
.Chm文件格式是HTML文件格式的擴展��,它本來是一種用于給軟件應用程序作用戶手冊的特殊文本格式��。簡單來說��,HTML文件格式被壓縮和重整以后��,就被制成了這種二進制的.Chm擴展文件格式��。通常��,.Chm文件格式由壓縮的HTML文件、圖像��、Javascript這些文件組合而成��,同時��,它可能還帶有超鏈接目錄��、索引以及全文檢索功能。
這些.Chm文件有著較多的用戶交互��,并且采用了一系列的技術��。其中包含的Javascript代碼自不用多說��,它可以在你打開.Chm文件時��,直接重定向到一個外部鏈接��。也就是說��,用戶只要打開一次這類文件��,里面包含的惡意代碼就可能主動運行��。這似乎給人一種感覺��,即用戶交互更少的時候��,感染的機會反而更大��。
真實案例分析
下面這份來自內網的傳真郵件樣本��,讓我們不得不相信��,這些郵件是為了滲透各大公司而特別打造的��。
小編推薦閱讀
