病毒合伙人？勒索病毒Princess Evolution合夥計劃，了解一下？

近日，亞信安全監測到大量惡意廣告利用Rig漏洞攻擊套件來傳播挖礦病毒及勒索病毒，並在Rig網路流量中還發現了新型的勒索病毒Princess Evolution，亞信安全已將其命名為RANSOM_PRINCESSLOCKER.B，這是2016年出現的Princess Locker勒索病毒的新變種。通過進一步調查發現，該病毒的作者還在地下論壇打起了廣告，似乎要將Princess Evolution以「勒索病毒服務」的方式經營，並以高返點的形式在尋找合作夥伴。

多年以來，「網路犯罪服務」（Cybercrime as aService，簡稱CaaS）已在「深網」論壇當掀起一股風潮。一些缺乏經驗的網路犯罪分子，只要向一些老手購買CaaS工具和服務，就能輕輕鬆鬆發動一些惡意程序、垃圾郵件（SPAM）、網路釣魚或其他惡意攻擊行動，一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗，就連只會寫寫腳本的初階黑客也能上手，但卻可以帶來高報酬。

而」勒索病毒服務」（Ransomware as a Service，簡稱RaaS），更是使勒索病毒攻擊大幅增長。這些原本大多由專業黑客發起的勒索攻擊，隨著這種「新模式」的興起，也讓越來越多的「小白」攻擊者加入其中，技術門檻大幅降低。

在本次惡意廣告活動中，亞信安全網路監測實驗室還發現了另一個值得注意的地方，那就是活動中還交付了Coinhive（COINMINER_MALXMR.TIDBF）。這意味著用戶即使沒有被Rig漏洞利用工具包分發的勒索軟體感染，網路犯罪分子仍然可以通過挖掘加密貨幣來獲取非法收益。這場新活動的另一個特徵是，其運營商將他們的惡意廣告網頁託管在免費的網路託管服務上，並使用域名系統規範名字（DNS CNAME）將他們的廣告域名映射到惡意網頁上。

【支付網站上的Princess Evolution標誌】

【透過Rig漏洞攻擊套件交付Princess Evolution的惡意流量（上），以及惡意廣告網域DNS響應（下）】

亞信安全詳解：Princess Evolution勒索病毒

Princess Evolution與Princess Locker有著相同的勒索通知。Princess Evolution會加密系統上的文件，並將其原始文件擴展名變更成隨機產生的字串。它還會產生一個勒索通知，包含如何支付0.12比特幣贖金的說明。

亞信安全網路監測實驗室發現，Princess Locker作者在7月31日在深網論壇貼出了一篇文章，宣傳他們新建Princess Evolution的合作計劃。根據其商業模式，合作夥伴獲得60%的贖金，其餘的是病毒作者的抽佣。根據他們的廣告，似乎作者花了些時間來開發Princess Evolution。

Princess Evolution的加密方式會用XOR和AES演算法來處理文件的第一塊數據，同時用AES加密文件其餘部分的數據。我們所看到Princess Locker到Princess Evolution的一個重大改變，就是從使用HTTPPOST換成UDP來進行命令和控制（C&C）通信。這可能是因為UDP發送數據速度更快，在發送數據前不需要先建立聯機。

Princess Evolution會產生一個隨機的XOR密鑰（0x80字元），另一個則用AES-128演算法產生，並將這些密鑰及以下信息用UDP送到網路「167.114.195.0/23：6901」：

中毒電腦的使用者名稱

使用中網路界面的名稱

系統的區域ID（LCID）

操作系統版本（OS）

受害者ID

Windows註冊的安全軟體

程序啟動的時間戳記

Princess Evolution與C&C建立聯機的方法跟Cerber類似。另一個值得注意的是Princess Locker的支付網站跟Cerber的相似。Princess Evolution的支付頁面現在採用了新設計。

【Princess Evolution使用UDP的C&C聯機（上）及其支付網站（下）】

漏洞攻擊套件提醒了使用者和企業更新修補程序的重要性。回顧以往，勒索病毒的活動可謂愈演愈烈，雖然近期在某些地區有所下降，但鑒於其破壞性強大，它仍然是個重大威脅。關於如何防範，首先保持系統及應用程序更新，或是在企業環境和老舊系統與網路的情況下考慮使用虛擬修補技術，其次還要實施縱深防禦的策略。

當然，主動、多層次的安全防護是抵禦漏洞攻擊（來自網關、端點、網路和伺服器）的關鍵。亞信安全OfficeScan可針對Vulnerability Protection漏洞進行防護，可以在修補程序部署前防護端點免於已知和未知的漏洞攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！