作为臭名昭著的“比特币敲诈者”木马主要家族之一,CryptoWall最近被发现藏身于一些高级餐厅网站中,专门攻击有能力支付高额赎金的“有钱人”。据360云安全中心检测,一家有着超过50年历史的巴西高级餐厅Buffet Torres官网被黑客挂马传播CryptoWall 3.0“比特币敲诈者”,台湾地区也有类似的挂马攻击。
出现在Buffet Torres官网的挂马攻击使用了著名黑客武器Angler Exploit Kit垂钓者挂马包。如果网站访问者使用了存在漏洞的IE浏览器或Adobe Flash插件,电脑会自动下载运行垂钓者的攻击负荷(Payload),再以特征密码“m3S4V”经过RC4算法解密运行,使电脑感染CryptoWall 3.0“比特币敲诈者”。根据在线杀毒扫描平台VirusTotal检测,目前全球仅有NOD32和360这两家安全产品能够有效查杀此木马样本。
如果电脑缺乏有效的安全防护,CryptoWall 3.0运行后会使用RSA-2048算法加密受害者电脑的文档,借此勒索受害者缴纳1.46个比特币赎金,约合350美元。若受害者3个月内不支付赎金,敲诈金额将提高为2.92个比特币(700美元),否则无法恢复被此木马加密的文档。
CryptoWall3.0还具有高破坏力、高隐蔽性等特点。它运行后会关闭Windows安全中心、Windows Defender等安全服务,并删除系统备份数据,使其加密的文档无法通过系统备份进行恢复;而其赎金支付过程也完全通过匿名网络工具进行,木马作者难以被追踪到真实身份。此外,该木马还会识别受害者IP,再展示相应语言的敲诈信息,并引导受害者兑换比特币支付赎金,堪称最“人性化”的木马。
360安全专家指出,尽管中国大陆尚未出现CryptoWall3.0最新变种的感染疫情,但此木马利用高级餐厅网站挂马的“精准打击”方式仍值得警惕,包括一些豪华酒店、会所、高尔夫俱乐部等高消费场所网站的防护能力普遍薄弱,极易被黑客入侵挂马。对此,消费者应注意为电脑及时修复系统和软件漏洞,并开启安全软件保护,以免遭到木马病毒
http://www.cctime.com/html/2015-2-28/20152281836208816.htm