今年年初，趋势科技注意到旧恶意软件家族 (TSPY_USTEAL)再度出现。这数据窃取恶意软件现在加入了新功能，包括了恶意加壳（Packer）、加花（Obfuscation）以及加入勒索软件—Ransomware。

TSPY_USTEAL变种早在2009年就开始出现，以会窃取敏感数据着称，像是计算机详细信息和储存在浏览器内的密码。它可以作为植入程序，将它资源区段内的插件或二进制文件植入受害系统。偷来的信息会储存在一加密的.bin档案，通过FTP上传到C＆C服务器。这是以前变种的部分行为，新版本中也继续保有。

趋势科技最新所侦测到的变种是TSPY_USTEAL.USRJ，它会植入勒索软件 Ransomware（侦测为TROJ_RANSOM.SMAR）到受害系统上。这些勒索软件是由一新工具包产生器所生成，让攻击者可以完全控制勒索软件 Ransomware的行为，包括它所加密的文件类型到显示的勒索说明。

    趋势科技将这工具包侦测为TROJ_TOOLKIT.WRN。下面是译自俄文的英文功能说明。包括加密的文件类型、勒索说明、附加到加密档案的扩展名以及所植入编码程序的名称。

（图一、勒索工具包的英文说明）

    勒索软件 – TROJ_RANSOM.SMAR会将自身副本植入到用户计算机中。然后用相同图示和扩展名来加密特定档案。例如，它可以将扩展名.EnCiPhErEd加到选定的文件格式，像是.LNK，.ZIP等，就像是记号一般。它接着会植入一内含勒索细节的文档。

（图二、勒索说明）

    当加密档案被存取，它会显示勒索说明加上取回密码的联络方式。取回方式可能是通过短信或电子邮件。它接着会出现：要求输入密码的讯息。如果输入正确密码，就会解密并将加密档案回复到原本格式，然后勒索软件 Ransomware体就会删除自己。但如果输入不正确的密码，而且尝试次数达到原先预定的极限值，它会显示以下错误讯息。接着会寻找档案来加密（除了已经加密的档案），再删除自己。

（图三、错误讯息）

这种威胁组合实在令人忧心，因为在恶意软件窃取身份凭证和数据的同时，勒索软件 Ransomware也会通过加密档案来从受害者身上索取更多金钱。