多家安全公司称,一种名为CryptoLocker的文件加密勒索软件的新变种已开始使用一项危险的新功能进行传播:通过USB驱动器自我传播。防病毒公司趋势科技和ESET都发现了新版本CryptoLocker在互联网上传播的证据。该恶意软件与原始CryptoLocker有所不同,包括在可移动媒体上创建其自身副本的功能,这表明该恶意软件可能是模仿者。

趋势科技技术和解决方案副总裁JD Sherry表示,能够传播到其他计算机和加密数据的能力意味着勒索软件变种的传播范围可能比原始的CryptoLocker更广泛。

“这是一个清晰的例子,无论是变种还是模仿者,它都是提供恶意软件的另一种低成本渠道,其最终目标是试图窃取敏感信息,例如银行凭证或获得赎金,雪莉告诉eWEEK。

CryptoLocker为被称为勒索软件的恶意软件类别提高了标准。勒索软件通常通过修改操作系统来锁定PC,直到用户付费为止。但是,CryptoLocker使用Windows操作系统的加密库使70多种类型的文件在没有密钥的情况下无法读取。该恶意软件实际上迫使许多公司支付了赎金,因为它们没有足够的备份来恢复数据。

虽然勒索软件计划的最新复兴是在一年多以前在俄罗斯和东欧开始的,但所有CryptoLocker感染中有一半以上是在美国。其创建者将最新版本称为“ CryptoLocker 2.0”,它可以通过感染USB记忆棒而像病毒或蠕虫一样传播。趋势科技称,尽管该恶意软件显然没有自动运行的能力,但复制的可执行文件可能会使它进一步传播。

CryptoLocker 2.0 最初由防病毒公司ESET 于12月19日发现,与原始版本有所不同。该变种声称使用更强的加密形式RSA-4096,但实际上使用更弱的版本RSA-1024。原始版本使用RSA-2048。此外,新版本仅允许受害者通过比特币付款,而原始的CryptoLocker也允许其他形式的付款。

当研究人员进一步分析代码时,差异变得更加明显。新的变体是用C#编程语言编写的,而原始的CryptoLocker是用Microsoft的Visual C ++编写的。此外,尽管最初的CryptoLocker专注于业务文件,但新版本也对图像,视频和音频文件进行加密。

除了更改加密方法外,这些差异还导致研究人员得出结论,最新版本可能是CryptoLocker的模仿者。

ESET在其博客中说:“自称为'CryptoLocker 2.0'的恶意软件实际上不可能是同一作者先前的CryptoLocker恶意软件的新版本。” “至少可以说,从C ++到C#的转换是出乎意料的,在任何情况下,关键的区别都不能认为是重大的改进。”