正文

当URL Shortener遇上勒索软件Ransomware

admin
admin V管理员 /0 评论 /13 阅读
0318
此篇文章发布距今已超过1151天,您需要注意文章的内容或图片是否可用!

想必大家对URL Shortener Services(网址缩写服务)都不会感到陌生,因为它在Twitter和其他社交媒体网络中都有着广泛的应用。同样的,对于一些网络犯罪分子来说,他们也会使用URL Shortener,来帮助完成他们想要实施的网络攻击。黑客们经常通过URL Shortener来改变原来的网页地址,在将其重定向后,链接到一些事先设计好的恶意目标地址上,进而实施他们的犯罪活动。

近期,黑客就用该服务来制造了一个可疑链接,来骗取用户通过原先的URL进入他们的恶意网站。

例如:他们通过URL Shortener来篡改http://46.30.45.39/Statement.jpg这样一个URL(原先是一个图片的下载地址,后被黑客改为了”Stament.js”恶意脚本的下载地址)。用户一旦输入该URL后,系统会自动跳转到http://46.30.45.39/yyo.w,下载一个叫做Cryptowall的数据绑架软件。黑客就能通过该软件远程锁定用户的计算机,进行勒索。

Cryptowwall其实是Ransomware的一种类型。(Ransomware是一种恶意勒索软件,用于数据绑架。它让犯罪分子能够远程锁定用户的计算机。 然后会显示一个弹出窗口,警告说用户的计算机已被锁定,并声称如果不付款,将不能使用计算机)。数据绑架是一个漏洞利用,攻击者通过加密受害者的数据,要求受害者为解密密钥支付费用。(在上述例子中,用的是RSA-2048加密方案)

缩短后的恶意URL为:http://46.30.45.39/Statement.jpg,实际上就是Statement.js脚本的下载地址。

一旦下载这个恶意脚本之后,该脚本就会让系统进入http://46.30.45.39/yyo.w,下载勒索软件Cryptowall。

网址缩写服务(URL Shortener Service)使得缩短后的URL变得无效了,但与此同时,IP仍能够提供Cryptowall的下载标识(46.30.45.39/yyo.w)。上图所示即为相关的连接情况。

在用户计算机被该软件感染后,该软件会弹出一个对话框,反问用户,刚才发生什么了么?同时要求用户对该计算机的数据加密方案做出简单解释,然后给出解除数据绑架的步骤。最后,该软件会让用户登录一个特定的主页,阅读有关黑客设计的解绑数据说明,以及了解如何下载安装一个叫Tor的网页浏览器。

对话框的具体内容如下:

是不是找不到你需要的文件了?是不是发现有些文件的内容现在无法读取了?这就对了,因为你计算机中那些文件的文件名,以及文件内容已经被加密了。

恭喜你,你已经成为我们这个大家庭的一员了。(大家庭:Cryptowall软件的受害者)

Cryptowall已经把你的文件加密了。请放心,你在软件加密文件夹中看到的那些说明,并不是病毒,而是帮你进行解密文件的工具。相信在看了上述文字之后,你一定会去搜索引擎上调查一番,弄清楚Cryptowall到底是什么。虽然你会得到一些建议和指导,但相信我,那些东西并没有什么用。冷静下来之后,你就会发现:你的文件被绑架了。而最重要的是,只有我们才是你唯一可以依靠的人,只有我们才能为你的文件解锁。不要再抱有任何幻想了,你的其他任何解密方法,都很有可能彻底销毁这些加密文件,后果十分严重。

如果你不顾该软件发出的警告,试图通过自己的方法一次次地解密文件,这最终只会破坏文件。如果你一意孤行,那么我们也就无能为力了。以防这种悲剧的发生,我们为用户提供了一种方法,来解除文件锁定,即:购买我们的解密软件以及和软件配套的密钥。在购买了相关软件和密钥之后,你就可以:

1.解密所有的加密文件;

2.处理相关文档;

3.浏览你的照片和其他媒体文件;

4.可以继续便捷,舒适地使用你的计算机。

关于我们的情况:

IP Location(IP定位):俄罗斯联邦,莫斯科市Eurobyte Llc

ASN:俄联邦AS35415 WEBZILLA Webzilla B.V.(2005年8月3号注册)

Rosolve Host(主机名):vz110372.eurodir.ru

Server(服务器):whois.ripe.net

IP Address(IP地址):46.30.45.39

Reverse IP(曾用IP):无

在今天看来,黑客使用Ransoware这种勒索软件进行网络攻击,已经不是什么新鲜事了。同时,他们总是能开发出一些新的间谍情报技术,并应用到网络攻击中。黑客在这方面的发展,要领先于传统的安全维护行业。这篇简短的博客,并不是要对哪一种URL Shortener Service(网址缩写服务)提出警告,也不是要对Cryptolocker软件进行多么详尽的分析。本文旨在提升人们的安全意识,特别是在使用到URL Shortener  Service时,要更加小心谨慎。

可以采取一些预防措施,来避免进入藏有恶意软件的缩写链接陷阱。比如:当你不了解这个链接的来源和其他情况时,你最好不要轻易地点击该链接,因为在该网页中很可能藏有恶意勒索软件。如果你还想了解更多保护措施,你可以点击checkshorturl.com,它会帮助到你(放心,这个链接是安全的)。

此外,还建议用户:在安装安全软件时,最好同时使用杀毒软件和反恶意程序软件,这样能够起到最好的防护效果。对于用Ransomware软件实施的IP地址调换,阻断IP链接和篡改主机域名等网络攻击,反恶意软件都能进行防御,为用户保驾护航。