CTB-Locker 勒索軟體加入免費軟體功能並且延長期限

趨勢科技在去年七月發現一個稱為Critroni 或 Curve-TOR-Bitcoin （ CTB ）Locker 的加密勒索軟體 Ransomware。最近我們觀察到 CTB 惡意軟體的改進，現在提供了「免費解密」服務、延長檔案解密期限及提供變更勒贖訊息語系的選項。這新變種還要求支付 3 比特幣（約 630 美元），而在七月所看到的舊版本只收取 0.02 比特幣或 24 美元。

除了這些改進外，我們也看到這些攻擊在某些地區激增，主要是歐洲、中東和非洲（ EMEA ）、中國、拉丁美洲和印度。

感染 CTB-Locker

我們之前報導過 CTB Locker 會使用 Tor 來隱藏其活動，但這新變種有著顯著的新變化。

這個 CTB-Locker 變種透過垃圾郵件到達。這些垃圾郵件用不同的語言寄送，常常偽裝成重要通知訊息以誘騙收信者打開附加檔案，趨勢科技注意到是壓縮兩次的檔案。

這些攻擊所使用的部分垃圾郵件樣本被判斷是由長期存在的CUTWAIL 殭屍網路之部分系統所發送。 CUTWAIL 已知會重複使用現有的資源（包括「Botnet傀儡殭屍網路」）；所以這波垃圾郵件攻擊的部分 IP 地址早出現在我們垃圾郵件黑名單上多年也就不令人意外了，有些地址甚至早在 2004 年就已經被列入黑名單。

新的發展

七月出現的舊版TROJ_CRYPCTB.A變種只給使用者 72 個小時，而這個新版本給使用者 96 個小時付款。延長期限可能是基於現實考量：較長的期限意味著可能會有更多受害者能夠支付費用。

按下「Next （下一步）」會出現「Test Decryption （測試解密）」的選項，惡意軟體在這裡透過免費服務來引誘使用者。「Test Decryption （測試解密）」功能可以隨機解密五個檔案，用以說服使用者真的可以解密。還出現說明訊息告知使用者不能重新命名或刪除檔案，只有被選中的檔案會被解密。該惡意軟體還會用其他語言（如德文、荷蘭文和義大利文）來顯示勒贖訊息。

繼續按下「Next （下一步）」會出現支付頁面，惡意軟體在這裡會指示受害者支付 3比特幣（ Bitcoin ）或 630 美元以進行檔案解密；否則所有檔案都將永久保持加密狀態。該訊息還包括了如何透過 Tor 瀏覽器來支付贖金的說明。以下是趨勢科技在 2014 年七月所看到舊版本 CBT-Locker 及最新版本變種間的比較。

圖 3、新 CBT-Locker變種要求高達 630美元或 3比特幣以讓使用者解密自己的檔案

該訊息指出受害者必須在期限內支付贖金。否則所有檔案將永久保持加密狀態。

分析變種後發現一個之前的 CTB-Locker 所沒有的功能，就是有免費解密檔案的機會。這種免費模式曾經出現在惡意軟體 CoinVault上，但這個 CTB-Locker 變種還更加碼，讓受害人可以解密五個檔案而非只有一個。

免費解密可視為是一種說服使用者支付贖金的方式。解密檔案讓受害者覺得如果支付費用的話，自己的其他檔案也可以復原。

防護及對抗加密勒索軟體

對抗這種新型勒索軟體的第一道防線是知道如何正確地從正常電子郵件中區分出垃圾郵件。雖然有些電子郵件可能看起來很正常，還是要好好地檢查寄件者地址、主旨以及電子郵件內容來看看是否有任何可疑之處。

面對不熟悉的檔案、電子郵件、網址以及（尤其是）電子郵件附加檔案時要特別小心謹慎。雖然「免費解密」這誘餌會吸引人去支付贖金，但不能保證網路犯罪分子會真的解密你的檔案和讓一切恢復正常。

使用者要記得定期備份資料。記得採取 3-2-1 原則：三份備份，兩種不同儲存媒體，一個分開的位置。