• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:250

●重點摘要：
1. 資安專家發現一個新型的勒索軟體稱之為Cry或CSTO，因為它假裝來自於不存在的組織(Central Security Treatment Organization)。
2. 當CSTO感染電腦後，除加密檔案並將副檔名改為.cry並勒索1.1比特幣(超過美金$600)之外，也像Cerber勒索軟體一樣，使用UDP傳輸協定將受害設備資訊傳送至C&C伺服器(command and control server)。
3. 受害設備遭收集並傳輸的資料包括Windows版本，安裝服務包，作業系統版本，用戶名稱，電腦名稱，CPU型號等，為了隱藏C&C伺服器真正位址，將資訊透過UDP發送到4096不同的IP地址，但只有其中一個是真正的C＆C伺服器。
4. CSTO會善用 Imgur.com 或 Pastee.org 等公開的免費圖文上傳平台來上傳及管理受害者資料，更會收集附近的無線網路的SSID以及透過 Google Maps API 來查出受害者的位置，但還不清楚駭客要如何使用這類資訊。
5. 與其他勒索軟體相仿的是，CSTO同時會執行“vssadmin.exe Delete Shadows /All /Quiet”指令以快速刪除系統還原和磁碟機現存的快照備份，使以避免受害者利用系統還原來還原遭加密的檔案。
6. CSTO同樣利用Tor網路並教導受害者使用以進行交易，而所提供的支付網站還提供受害者免費解密一個檔案，以證明它可以解密所有加密的文件。

攻擊手法： 勒索軟體，使用UDP傳輸協定以及Google Maps收集資訊

參考連結：

http://securityaffairs.co/wordpress/51015/malware/csto-ransomware.html http://www.bleepingcomputer.com/news/security/the-crylocker-ransomware-communicates-using-udp-and-stores-data-on-imgur-com/