来源:CNCERT/CC
安全公告:CN-SA06-022
发布日期:2006-06-15
安全等级:中危
公开程度:公共
修订次数:0
首次发布日期:2005-06-15
CNCERT/CC的支持单位安天实验室于6月14日截获一个名为Trojan.Win32.Pluder.a的勒索木马。该木马将用户多种类型的文档隐藏起来,然后要求用户向指定银行帐户汇款和向指定手机发送短信,从而使用户面临数据不可用和的经济损失的风险。
勒索软件(国外叫做RandomWare)是一种从2006年才明显增多的新型恶意软件,与通常的蠕虫、木马、间谍软件等不同的是,这类恶意软件在受害主机上运行后,会将用户系统上的多种类型的文件,如 Word文档(*.doc/*.rtf...)、文本文件(*.txt/*.ini...)、邮件文件、数据库文件等,进行某种类型的加密操作,使这些文件不可用。然后将这些加密的文件作为“人质”,向用户勒索。一般地,勒索软件通过弹出窗口、对话框或生成自动运行的文本文件等方法向用户发出勒索通知,通知用户向指定帐户汇款或强迫用户进行某种交易来获得解密这些文件的密码。
受影响的平台:
Windows2000/XP/2003用户
攻击方法分析:
一.木马在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。
二.为了达到勒索的目的,木马会生成一个开机时自动打开的文本文件。内容如下:
1.你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写
2.你必须使用磁盘修复工具拯救找回丢失的资料文件
3.但是,你正在使用的不是正版软件,是盗版
4.你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5.点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6.为了确保你能尽快修复全部资料,必须在两小时内迅速办理,
7.按以上方法做的,一定能修复的资料包括:
[被隐藏的文件名称]
三. 木马在“开始菜单\所有程序\启动”菜单下建立指向该文本文档的快捷方式,这样,每次开机时,该文本内容都会自动弹出来,提醒用户及时汇款。
四. 如果用户按文本文件提示的方法操作,即点击”修复硬盘资料”,木马会弹出对话框,要求用户向指定账户汇款。如图。
解决方案:
如果用户看到上述文本文件的提示,说明感染了该木马。但用户可以通过简单的命令行操作(cmd.exe)找回被隐藏的文件。
如果在C盘根目录下发现“控制面板“图标,则进入C盘根目录C:\>, 输入以下命令:
“ren 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 任意目录名称(如myfiles)
此时,即可在C盘找到myfiles目录,里面就是被木马隐藏的文件。
其他驱动盘(如D:,E:)方法同上。
CNCERT/CC提醒广大Windows系统用户,当访问可疑网站时,要打开已升级的防病毒软件,谨防恶意代码借助网页下载到本地运行。一旦感染类似的勒索型木马,应该及时与防病毒厂商、网络安全应急响应组织或其他管理部门联络,不要盲目地按照恶意代码的提示汇款。
安全公告文档编写:
CNCERT/CC
