• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:303

●重點摘要：
1.新的勒索軟體CryptXXX出現，它不僅會加密檔案，最新的CryptXXX變種還會鎖住螢幕，讓使用者無法進入桌面。
2.CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。一旦使用者瀏覽了受入侵網站或是惡意廣告，就會被BEDEP惡意軟體變種植入CryptXXX。一旦它進入系統，它會先檢查自己是否執行在虛擬環境。如果偵測到，就會將自己停掉。CryptXXX會同時進行兩個動作；一個是加密，另外一個是偵測異常的系統行為。當看門狗（watchdog）偵測到異常系統行為就會停止加密程序，再重新啟動加密程序。這會導致將惡意軟體停止，而看門狗（watchdog）會重新啟動惡意軟體的一個循環。
●TWCERT/CC建議
1.使用者務必要定期修補或更新程式，軟體和應用程式到最新狀態，以保護自己免於漏洞攻擊。
2.使用者也應該要遵循3-2-1規則來備份檔案：建立三份副本，使用兩種不同媒體，一份副本要存放在不同的地方，此外至少有一個系統備份是處於實體隔離的網路環境。
●CryptXXX相關的雜湊至如下：
DF7E00A7DE1C584F0BF71BB583673A9CA4511AEF – Ransom_WALTRIX.C
ADCE8CF4C31F1980C2B1D952A5A931D7C8DCDD8C – Ransom_WALTRIX.C
B3CA5D55F0D38AC78A86A36323A8498854E3FA80 – Ransom_WALTRIX.C

攻擊手法： CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。一旦使用者瀏覽了受入侵網站或是惡意廣告，就會被BEDEP惡意軟體變種植入CryptXXX。

參考連結：

http://blog.trendmicro.com.tw/?p=18065

http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx