Bitcon

為什麼勒索病毒一再得逞?其策略和作法不僅僅是加密

研究顯示有公司在考慮要儲存比特幣(Bitcoin,以防遭到勒索病毒攻擊時能夠在短時間內回復重要檔案,這是個好方法嗎?

各行各業的大小企業要如何去準備對抗勒索病毒 Ransomware (勒索病毒/綁架病毒)攻擊?有一份最新的研究顯示有公司在考慮要儲存比特幣(Bitcoin),以防真的遇到攻擊時能夠在短時間內回復重要檔案。雖然趨勢科技並不建議屈從於支付贖金,因為這無法保證能夠讓檔案救回,而且之後還可能容易被當成勒索病毒的攻擊目標,但我們也不能怪這些大型機構和企業會如此做。勒索病毒攻擊可能會中斷業務運作和生產力,並且會造成公司的信譽損害,這一切都是付款取得解密工具之外的損失。

 

勒索病毒威脅手法
勒索病毒威脅手法

為什麼勒索病毒仍然繼續?

為了避免成為勒索病毒的受害者,最好是能夠了解它如何運作以及它為什麼會成功。當然,社交工程誘餌和商業等級加密是讓勒索病毒攻擊成功的重大因素,但是除此之外,最近幾波的勒索病毒還採用了其他惡意軟體行為,雖然技術尚不完全成熟,但結合在一起時還是造成了更大的破壞,讓IT人員更加頭痛,也得花費更多時間和精力來解決問題。

試想一下,某公司接到消息稱他們的檔案連同最核心的資料都已經被加密,必須支付贖金才能夠取回,IT人員作了該做的事情,將網路切割並且將受感染系統從網路隔離,他接著試圖清理受感染電腦和回復檔案,但他遇到了一些挑戰。

舉例來說,勒索病毒家族常見的作法是會刪除陰影複製(Shadow Copy),這可以透過下列指令做到:

 

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

 

透過刪除陰影複製(Shadow Copy),它會移除檔案備份,讓你無法回復檔案,請注意,Windows 7和8作業系統加入了刪除陰影複製(Shadow Copy)功能;然而這在Windows 8使用者介面中看不到。CRYPWALLLockyCERBERCRYPTESLA等變種會使用這種技術。

其他行為可以大致分類為:修改啟動程序、散播以及防偵測機制:

修改啟動程序

覆寫或抹除開機磁區(MBR)可能會導致系統無法啟動,這種功能會增加使用者進入安全模式來回復系統的難度,PETYA是具備此功能的一種勒索病毒,而MATSNU則會執行後門指令來抹除開機磁區及鎖住螢幕。

散播策略

因為勒索病毒使用了加密演算法,想要回復單一系統的檔案已經有難度了,更何況有些勒索病毒能夠透過外接式硬碟和網路共享來散播,讓其他重要資料也被加密。被稱為Zcryptor的勒索病毒(ZCRYPT加密勒索病毒)可以透過外接式硬碟及網路共享散播。 Continue reading “為什麼勒索病毒一再得逞?其策略和作法不僅僅是加密"

news2

《資安新聞周報》3C問題求助難 你家爸媽也遇到這三狀況嗎?/以太幣遭駭18億 虛擬貨幣安全性現隱憂

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

印度航空遭駭客入侵  回饋里程被盜  中央通訊社商情網

EXO百萬粉絲團被駭客惡意攻擊 ID、主照全換成BTS  新聞雲

3C問題求助難 你家爸媽也遇到這三狀況嗎?  iSET 2011三立網站

慎選防毒軟體 讓勒索病毒無所遁形  今日新聞網

大公司好,還是小公司?薪水該開多少錢?一次解決求職10大疑惑  中央社即時新聞網

互聯、物聯時代 資安人才需求高  中時電子報網

不是 Bug 是功能?區塊鍊新創 The DAO 智慧合約「同意」駭客盜領超過 6 千萬美元  數位時代

駭客放話已破解拓元 狂購百張五月天門票  台灣壹週刊

研發即時影像系統  樹科大發明展摘雙金  中央社即時新聞網

南韓情資:IS將襲北約空軍基地  聯合新聞網

提高企業資安意識,英國會擬出奇招:增加罰款、扣CEO薪水  iThome

趨勢科技:3大招防求職詐騙盜取個資  新聞雲

畢業季到來 新鮮人求職遭詐騙洩個資!  新聞雲

Android抓漏獎勵首年成績出爐,中國研究人員抱走7.5萬美元獎金  iThome

《大陸社會》陸網友發現Uber漏洞,恐被盜刷  富聯網

5月網路勒索案件暴增3倍 掌握「三不三要」秘訣  今日代誌

 

 

 

 

 

 

美國防部請白帽駭客  發現百餘安全漏洞  新浪網(臺灣)

以太幣遭駭18億 虛擬貨幣安全性現隱憂  自由時報

日本JTB個資外洩 國人恐受害  台灣蘋果日報網

90% Android 用戶都躲不掉?新種病毒潛伏 Google Play!自由時報

儘管 Google 試圖讓新款 Android 系統更快普及到所有裝置上,但全球仍有超過 90% 的 Android 裝置運行 Android 5.1 以前的舊版本系統,這勢必會造成系統漏洞無法修復的安全性問題。而現在這個問題在新手機病毒「Godless」的肆虐下被高度重視,原因在於這個病毒可能會潛伏在 Google Play 的正版應用中、並針對舊版 Android 系統  下手!

<回到新聞條列重點>

印度航空遭駭客入侵  回饋里程被盜  中央通訊社商情網

印度航空公司最近內部調查發現,獎勵客戶持續搭乘印航的忠誠顧客里程回饋計畫,遭駭客與印航內部員工、旅行社勾結盜走里程,市價近新台幣80萬元的里程被出售。

<回到新聞條列重點>

EXO百萬粉絲團被駭客惡意攻擊 ID、主照全換成BTS  新聞雲

南韓人氣團體EXO能歌善舞,每每推出新專輯,都會引起高度討論,粉絲團更是多到數不清,不過其中一個擁有110萬追蹤的大粉絲團近日被駭客盜,對方除了刪光所有貼文和照片外,還將大頭貼和封面照換成防彈少年團(BTS),此事爆發後,立刻引起關注。

<回到新聞條列重點>

3C問題求助難 你家爸媽也遇到這三狀況嗎?  iSET 2011三立網站

台灣逐步邁向高齡化社會,在科技與數位生活的浪潮下,越來越多的熟齡族開始接觸3C科技商品,也因此衍生大量的熟齡族數位使用問題。

趨勢科技今(22)天公布一份調查顯示,有75%、年紀在五十歲以上的熟齡族曾發生無法自行解決的數位問題,55%的熟齡族曾遭遇家人或朋友太忙沒時間幫忙而求助無門,在3C裝置充斥的環境中彷彿身陷科技叢林。

<回到新聞條列重點>

慎選防毒軟體 讓勒索病毒無所遁形  今日新聞網

在這個多螢幕的時代,許多人同時擁有著桌上型電腦、筆電、手機和平板,彼此互相連結,然而,當病毒選擇其中一項路徑入侵,就會導致交叉感染,讓手機、電腦通通遭殃。

既然魔高一尺,道就要高一丈,因應不斷變異的病毒,也要發展出與時俱進的防毒軟體,究竟最新的防毒軟體如何防堵病毒,甚至是近年來令人聞之色變的「勒索病毒」?

<回到新聞條列重點>

大公司好,還是小公司?薪水該開多少錢?一次解決求職10大疑惑  中央社即時新聞網

談起第一次求職,心中免不了浮現許多問號,心情上也徬徨不安。如果在求職之前,能夠有職場前輩針對自己的疑問給予建議、釐清方向,反而可以將這些困惑視為確認職涯選擇的指引,化阻力為助力,幫助求職者順利出線。

以下整理10個社會新鮮人第一次找工作時最常見的問題,不妨試著從中找尋你的職涯方向。

<回到新聞條列重點>

互聯、物聯時代 資安人才需求高  中時電子報網

現今網路普及,在互聯網時代商業模式蓬勃發展,但網路攻擊事件所衍生的犯罪行為,也成為消費者與企業不得不重視的威脅,甚至影響到數位創新、物聯網(IoT)、金融科技更進一步的發展。

<回到新聞條列重點>

不是 Bug 是功能?區塊鍊新創 The DAO 智慧合約「同意」駭客盜領超過 6 千萬美元  數位時代

主打去中心、由程式碼自動營運的創投基金公司 The DAO,在 5 月才以超過 1.5 億美元(約 48 億台幣)創下史上最高額的群眾募資紀錄,卻於 17 日遭駭客盜走價值超過 6 千萬美元(約 19 億台幣)的虛擬貨幣「以太幣」,約為 The DAO 募得資金的 3 分之 1。消息傳出後,不僅以太幣市值從 21 美元狂跌 40% 至 12 美元,虛擬貨幣安全性也再度受到質疑。

<回到新聞條列重點>

駭客放話已破解拓元 狂購百張五月天門票  台灣壹週刊

五月天7月23、24日在南港展覽館外舉行演唱會,門票日前開賣,一如預期秒殺賣光。多數歌迷哀嚎搶不到票,不料今有讀者爆料,有網友在PTT五月天版上,指這次負責五月天演唱會的拓元售票系統很容易被駭客入侵,該網友稱有破解方法,只要有程式,一個按鍵就能馬上進入結帳頁面,甚至稱以此買了百張門票,譏拓元售票系統是黃牛大溫床,還稱只要發文破50個讚要公開破解方法,網友大言不慚的發言,被五迷噓爆,撻伐此舉根本跟黃牛無異,該網友即刪除文章。

<回到新聞條列重點>

研發即時影像系統  樹科大發明展摘雙金  中央社即時新聞網

樹德科大師生研發離散化混沌同步之即時影像系統,加解密安全快速,接連獲2015台北國際發明展金牌及2016捷克國際發明展金牌,並與科技公司進行產學合作,完成技術移轉合約。

<回到新聞條列重點>

南韓情資:IS將襲北約空軍基地  聯合新聞網

最新情資顯示,「伊斯蘭國」(IS)恐怖組織的駭客已收集全球77個美國及北約空軍基地的資訊,並號召支持者攻擊它們。

駐韓美國空軍指揮部20日發表聲明,極端重視所轄設施之安全,保證將確保朝鮮半島最高度的安全。

<回到新聞條列重點>

提高企業資安意識,英國會擬出奇招:增加罰款、扣CEO薪水  iThome

英國國會發佈一份報告,希望英國政府對企業資料保護採取更積極的作為,除了主張提高罰金外,特別的是將企業執行長的薪酬與企業資安防護連結在一起,防護較差的公司減少CEO的薪水,並主張企業設資安長一職,專責資訊安全事務。

<回到新聞條列重點>

趨勢科技:3大招防求職詐騙盜取個資  新聞雲

隨著畢業季到來,社會新鮮人準備進入職場,成了求職旺季,趨勢科技表示,網路求職已成為主流,更發現網路犯罪份子對其進行詐騙,一般常見透過藏有惡意程式的求職主題相關網路連結,來進行惡意程式散播,或是發送內含有病毒附件檔的Email,讓求職者誤點開病毒附件,造成電腦中毒甚至個資外洩。

<回到新聞條列重點>

畢業季到來 新鮮人求職遭詐騙洩個資!  新聞雲

畢業季到來,社會新鮮人準備進入職場,也成了求職旺季,趨勢科技表示,網路求職已成為主流,發現有網路犯罪份子利用相關連結來進行詐騙,讓求職者誤點開病毒附件造成電腦裝置中毒、個資外洩等傷害。

<回到新聞條列重點>

Android抓漏獎勵首年成績出爐,中國研究人員抱走7.5萬美元獎金  iThome

Google上周揭露,自去年6月將Android平台納入抓漏獎勵計畫以來,迄今已收到超過250個合格的漏洞通報,總計支付逾55萬美元予82名研究人員,同時宣布新的一年將把獎勵金額提高33%。

<回到新聞條列重點>

《大陸社會》陸網友發現Uber漏洞,恐被盜刷  富聯網

大陸的微信朋友圈最近流傳一個消息,有人Uber帳號被盜刷了,除了凍結支付寶,一點辦法也沒有。最近有很多人發生這種事,可能跟平台本身有關。

<回到新聞條列重點>

5月網路勒索案件暴增3倍 掌握「三不三要」秘訣  今日代誌

近期勒索病毒災難頻傳,許多駭客偽裝成廣告主,將製作的惡意廣告投放至各大網站或部落格,根據趨勢科技統計資料顯示,台灣地區勒索病毒攻擊人次在5月份達到新高,共計50萬人次遭受攻擊,較4月份成長3倍,還整理出『三不三要』秘訣,防止病毒找上門!

<回到新聞條列重點>

美國防部請白帽駭客  發現百餘安全漏洞  新浪網(臺灣)

美國國防部發武林帖,邀請所謂的「白帽駭客」到五個公開的網頁上抓漏,抓到的有賞,總有一千四百多個駭客加入活動,有高手只花了13分鐘就找到漏洞。

<回到新聞條列重點>

以太幣遭駭18億 虛擬貨幣安全性現隱憂  自由時報

以虛擬貨幣「以太幣(ETH)」為交易媒介,並創造歷來最成功群眾募資計畫的「去中心化自治組織(Decentralized Autonomous Organization,DAO)」遭到駭客入侵,三六○萬的以太幣被轉入其他系統,損失金額相當於五千五百萬美元(約台幣十八億元)。此一事件不僅使該組織運作停擺,也讓虛擬貨幣的安全性出現危機。

<回到新聞條列重點>

日本JTB個資外洩 國人恐受害  台灣蘋果日報網

在台灣也有據點的日本JTB旅行社(台灣稱世帝喜旅行社),本月中旬傳出網站電腦系統遭駭,高達793萬名用戶的個資外洩,《產經新聞》今天報導,可能外洩個資中有70萬筆是外國人,台灣、中國等亞洲國家的民眾佔7成。報導說目前還沒有受害的案例發生,但免不了會對日本政府以觀光立國的政策造成負面影響。

<回到新聞條列重點>

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

別輕易相信被轉接的電話!

blog_pic

😈:你好,你身分遭到"冒用",涉及’洗錢案",要釐清案情,我們幫你「轉接」電話給165~

💀:你的資料被冒用,疑似被作為"人頭帳戶","電話中幫你製作筆錄",待會再幫你「轉接」給本案檢察官~

👹:為了證明你的清白,請清空帳戶,我會派書記官"監管"你的帳戶,等案子結束再發還。

 

切記切記!!!

①千萬別相信轉接電話。

②聽到關鍵字:身分遭冒用、涉及洗錢、監管帳戶、電話製作筆錄等,應立即掛掉電話。

③警察機關不會轉接地檢署或法院電話,如有疑問,直撥165專線查詢。

gp_ico_tw立即免費下載趨勢 安全達人Dr.Safety 安全防詐全時保護

這隻勒索病毒不僅會偷密碼,還會偷比特幣錢包

比特幣bitcoin3

為了開發更多攻擊目標,同時提高受害者支付贖金的比率,勒索病毒 Ransomware (勒索軟體/綁架病毒)作者正試圖放棄原本熟悉的勒索病毒家族,開發出各種最新技巧的家族。

RAA 勒索病毒即是一例 (趨勢科技命名:RANSOM_JSRAA.A),絕大多數的勒索病毒都是採取執行檔 (.exe、.dll) 的形態,但 RAA 卻是少數完全採用腳本 (script) 語言撰寫的勒索病毒,而且是採用瀏覽器專用的腳本語言。

根據趨勢科技的分析,此勒索病毒變種是以 JScript (而非 JavaScript) 所撰寫,這一點某些報導也曾經指出。(這兩種語言和 Java 一點關係也沒有,Microsoft 知識庫文章對這三者的分別有簡短的說明。) JScript這個腳本語言是專為 Windows 系統所設計,並由 Microsoft Internet Explorer (IE) 瀏覽器當中的 Windows Scripting Host 引擎負責執行,但它無法在新的 Edge 瀏覽器上執行。

也許駭客是希望能使用 JScript 來增加防毒軟體的偵測難度,因為他們可以更容易做出變形和混淆編碼的程式。

圖 1:RAA 的勒索訊息是以俄羅斯文撰寫,內容包含如何支付贖金 (0.39 比特幣,約合 250 美元) 以取得解開檔案的金鑰和軟體。

JScript 與 JavaScript 有些許類似,因為兩者都是從  ECMAScript 衍生而來,因此這幾個腳本語言多多少少有點「相通」。簡單來說,JScript 是 Microsoft 版本的  ECMAScript而 JavaScript 則是 Mozilla 版本的 ECMAScript,其中一個最大的差別在於  JScript 可以存取 IE 所開放出來的 ActiveX 物件及某些系統物件,如 WScript 物件。 Continue reading “這隻勒索病毒不僅會偷密碼,還會偷比特幣錢包"

ransomware-Phishing

「你的 Amazon.com 訂單已出貨」勒索病毒狂發網路釣魚信,"三不三要"捍衛電腦主控權!

根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。

好奇心是最大的漏洞 每天有100次掉進駭客陷阱的風險
一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 好奇點閱中了資安陷阱以上這些社交工程(social engineering )信件,都曾經登上媒體頭條新聞

最近大舉入侵台灣的勒索病毒 Ransomware  (勒索軟體/綁架病毒)也經常使用類似的社交工程(social engineering )信件的手法,達到綁架電腦的目的。比如趨勢科技部落格報導過的這篇 勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件。"員工滿意度調查"、"免費星巴克"、"個人簡歷"、「來自星星的你」大結局….都是過去曾機發生過的網路釣魚信件主旨。

加密勒索病毒最大宗的攻擊方式:網路釣魚信件

加密勒索病毒 Ransomware 最大宗的攻擊方式是透過網路釣魚信件,只要開啟陌生人寄來的信件即可能中標!

勒索病毒曾經使用過的網路釣魚主旨或手法包含:
A) 退稅通知
B) 電子帳單/電子發票
C) Google Chrome 和 Facebook 重大更新和通知訊息
D) iPhone中獎通知
E)求職信/履歷表
F)電子訃聞
G)誘騙使用者連到看似真正銀行或政府機構網站的假網頁
H)輸入驗證碼(CAPTCHA,一種防止機器人的程序)
I)您的帳戶欠款已過期!

近日最大宗的網路釣攻擊事件,則是由 Locky 勒索病毒主導,估計散發了 3,000 萬封,甚至另有估計一億封,假冒 Amazon.com 訂單出貨通知的垃圾郵件

五月美國電子商務巨擘 Amazon 的使用者陸續接到通知,請他們小心提防一場專門針對他們而來的大規模網路釣魚(Phishing)詐騙。根據報導,該知名電子商務網站的使用者都收到了含有 Microsoft Word 文件的電子郵件,文件內含巨集程式碼會下載今年二月發現的 Locky 勒索病毒 Ransomware (勒索軟體/綁架病毒)。

許多 Amazon 使用者收到了假冒該網站名義所發出的網路釣魚郵件,寄件人地址為「auto-shipping@amazon.com」,主旨為「Your Amazon.com Order Has Dispatched (#code)」(您的 Amazon.com 訂單已出貨 (#編號))。

該郵件內文為空白,僅附上一個 Microsoft Word 文件,這個 Word 文件的內容也是空的,但卻含有一些原本用來將常用操作自動化的巨集程式碼。由於巨集本身存在著潛在的風險,因此 Microsoft Office 產品現在都會預設停用巨集,

但收到這個惡意檔案的使用者當看到畫面上要求啟用巨集以閱讀文件內容時,通常會不自覺地照做,因此就會從某個網站下載惡意程式到電腦上執行,而Comodo 研究人員發現,這個被下載的惡意程式正是 Locky 勒索病毒。


 

PCC2016_1Y3U_TW box

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)最大宗的攻擊方式是透過網路釣魚信件,只要開啟陌生人寄來的信件即可能中標! 趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助您避免掉入詐騙陷阱。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密)!◢即刻免費下載試用


 

[延伸閱讀:勒索軟體:是什麼?如何預防?]

 海報 勒索軟體_04 防勒索軟體綁架-三不三要

以下是一些防範這類潛在攻擊的3 個實用秘訣:

  1. 開啟電子郵件之前請先仔細看清楚
    小心不明來源的電子郵件,您可直接向寄件人求證他們是否寄了這樣一封訊息給您。
  2. 避免點選不明來源電子郵件內的連結
    這類社交工程(social engineering )信件技巧經常會導致使用者下載到勒索程式。此外,還要小心那些要求您輸入圖片中文字的網站,因為它們可能暗藏 勒索病毒 Ransomware 攻擊。
  3. 備份您的重要檔案
    雖然預防重於治療,但若您的重要檔案都已備份,您至少可以將 勒索病毒 Ransomware的傷害降至最低。雖然系統被鎖住還是一件不幸的事,但至少不會是一場災難,因為您還可以復原重要的檔案。請遵守 3-2-1 備份原則:3 份備份、2 種不同儲存媒體、1 個不同的存放地點。

 

Locky 勒索病毒散發了 3,000 萬(另有估計一億封)封假冒 Amazon.com 訂單出貨通知的垃圾郵件

Locky 勒索病毒 (趨勢科技命名為:Ransom_LOCKY.A) 會將符合其副檔名清單的檔案類型加密,其中包括多媒體檔案和原始程式碼檔案,以及 Office 和 PDF 文件,甚至包括使用者的比特幣(Bitcoin)錢包,此外,它還會停用 Windows 系統內建的「陰影複製」(shadow copy) 系統自動快照備份功能,同時,還會加密系統掛載磁碟上的檔案,例如:卸除式磁碟與網路共用磁碟 (如伺服器或其他 Windows、Linux 和 OS X 系統所分享的磁碟)。

惡意程式會在被加密的檔案名稱後面加上「.locky」副檔名,完成加密動作之後,它便將系統桌布換成一張勒索訊息圖片,告訴受害者其檔案已經遭到挾持,此外,所有被加密的檔案所在的資料夾內也都含有一個 HTML 檔案來提供同樣的勒索訊息,此訊息會指示受害者透過TOR 洋蔥路由器 網路支付一筆贖金來救回被加密的檔案,贖金從 0.5 至 1 比特幣不等 (依 2016 年 5 月 26 日的匯率換算,約合 235–470 美元)。

這個通知當中指出,這一波網路釣魚行動始於 5 月 17 日,大約持續了 12 小時左右,據估計約散發了 3,000 萬封假冒 Amazon.com 訂單出貨通知的垃圾郵件,另一家資安機構則估計這一波垃圾郵件大約在 1 億封左右,報導也提到,該行動還運用了一些被感染的虛擬機器與一般消費者電腦所組成的「Botnet傀儡殭屍網路」

[延伸閱讀:Locky 勒索軟體利用 Flash 和 Windows 系統核心漏洞散布]

儘管 Locky 相對來說算是勒索病毒的新手,但卻因為癱瘓了好萊塢長老教會醫療中心 (Hollywood Presbyterian Medical Center)而聲名大噪,而該醫院也被迫支付了 17,000 美元的贖金。從那次事件之後,它的感染範圍便持續擴大,包括全球各地的一連串攻擊,包括:美國的醫療機構印度馬哈拉施特拉州 (Maharashtra) 政府機關澳洲郵局客戶紐西蘭旺加努伊 (Whanganui) 地區衛生局以及多個香港機構 (如香港中文大學醫學院)。

每分鐘感染 30 個裝置

挾帶著這股超高的感染率 (據估計曾高達每分鐘 30 個裝置),Locky 的幕後集團開始盯上歐洲企業和一般使用者也就不足為奇。

美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,簡稱 US-CERT) 建議一般使用者和企業機構應採取一些預防措施來保護自己的裝置和網路,例如:建立定期的資料備份與復原計畫、停用電子郵件收到的檔案當中的巨集、小心不明來源的電子郵件 (尤其是含有可疑附件的郵件)。Amazon 也設立了一個求助網頁來讓客戶通報網路釣魚詐騙。

原文出處:Millions of Amazon Users Targeted with Locky Ransomware via Phishing Scams

 

 

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

Facebook leader Mark Zuckerberg puts tape over his webcam

Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做

今年四月美國聯邦調查局長康梅( James Comey )在演講時表示,他會把筆電上的視訊鏡頭用不透明膠帶貼起來,以防電腦被駭客入侵、行蹤被偷窺。

無獨有偶的是 facebook 創辦人Mark Zuckerberg , 也同樣做了這件事:

Facebook 執行長 Mark Zuckerberg 發文慶祝慶祝 Instagram 用戶數突破 5 億,眼尖的網友發現了 Mark Zuckerberg 的電腦上用膠帶做了防窺防竊聽措施。
Facebook 執行長 Mark Zuckerberg 發文慶祝慶祝 Instagram 用戶數突破 5 億,眼尖的網友發現了 Mark Zuckerberg 的電腦上用膠帶做了防窺防竊聽措施。(圖片擷取至 facebook)

由於先前 LinkedIn 駭客災情的影響,讓Facebook 執行長的密碼也被公諸於世,請參考:別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全,話說身價 380 億美元的大人物,開始重視自己的個人隱私安全也是理所當然,但一般網友也不能掉以輕心。之前有新聞報導淡江外籍男涉偷拍29人,被喻為土耳其版李宗瑞,女孩們不只在外交友要小心,即使坐在家裡都有可能被偷拍;除了女孩,駭客連小孩也不放過看看以下幾則案例:

 駭客入侵筆電 遙控偷拍辣妹洗澡

駭客打開女網友的webcam偷窺 「我喜歡糟蹋這些奴隸」(英文版報導“ I enjoy messing with my girl slaves”)看到這樣的報導,女孩們怎能不生氣呢?!報導說 駭客入侵筆電 遙控偷拍辣妹洗澡,話說一名20歲的英國女大學生在浴室邊泡澡邊用筆電看電影,突然發現電腦視訊鏡頭自動開啟,女大生嚇了一跳,她懷疑電腦被駭客入侵,擔心自己在房內更衣和洗澡過程全都已經被人拍下。《英國廣播公司》(BBC)的調查指出,駭客利用各式吸引人的電郵,騙人點開有毒連結,之後利用中毒電腦的打開鏡頭後,偷拍電腦前的女性,然後將照片上傳到網路,甚至出售牟利。
Continue reading “Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做"

POS

FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客

今日企業總是以能夠快速因應外在環境變化而自豪,不幸的是,網路犯罪集團何嘗不是如此。最近出現了一個專門攻擊個專門攻擊銷售櫃台系統 (PoS) 的新惡意程式家族,此惡意程式家族的特點是竊取到資料之後會馬上回傳給遠端的駭客。趨勢科技根據這項特性,將它命名為 FastPOS。

FastPOS 的設計是會立即將竊取到的信用卡資料外傳,而非先儲存在本機上的一個檔案,然後再定期傳送給駭客。這表示它或許是專門針對小型網路環境而設計,例如只有一台 DSL 數據機連接一台 POS 系統的環境。

攻擊管道和目標

FastPOS (趨勢科技的偵測名稱為: TSPY_FASTPOS.SMZTDA)  可經由三種管道進入其攻擊目標:

  • 指向某個已遭駭客入侵網站的連結 (該網站專門討論外科雷射技巧)
  • 即時檔案分享服務
  • 透過 VNC 直接傳輸檔案

前兩種方法還需透過社交工程social engineering技巧來誘騙使用者執行惡意程式,最後一種方法則需要經由某種管道取得公司的登入帳號密碼,或者透過暴力破解的方式取得目標使用者的帳號密碼。

這項威脅的受害者分布非常廣:我們在全球各地都有發現受害者。主要分布於下列地區:

  • 美洲:巴西和美國
  • 亞洲:香港、日本、台灣
  • 歐洲:法國
圖 1:FastPOS 受害者分布的國家和產業。
圖 1:FastPOS 受害者分布的國家和產業。

此外,其產業分布也很廣。美國的受害機構還包括獸醫診所,其他地區的受害機構則包括食品業和物流業;另有某些案例的受害機構為開放 VNC 連線的遠端辦公室。

資訊竊盜

FastPOS 會將偷取到的資訊「立即」傳送給遠端駭客,而非先儲存在本機,等到固定時間再上傳。雖然這可能造成一些不正常的網路流量,但由於今日的裝置隨時都連上網路,因此這樣的流量相對上很容易隱藏。其竊取的資訊方式有兩種:鍵盤側錄和記憶體擷取。 Continue reading “FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客"

SNSLocker

SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼

SNSLocker 加密勒索病毒雖然在行為和外觀上並不突出,但其粗糙平凡的外表下卻隱藏著一項令人震驚的事實。當趨勢科技仔細研究過它的程式碼之發現,這個勒索病毒 Ransomware (勒索病毒/綁架病毒)程式碼當中竟含有其伺服器的帳號密碼。

SNSLocker 加密勒索病毒作者的動機就如同許許多多趕搭勒索病毒大賺黑心錢順風車的網路犯罪分子一樣:它使用的是網路上現成的伺服器和付款機制。不過這一次,歹徒不是太過心急,就是為了省錢,竟然讓自己的帳號密碼就這麼大剌剌地公開 (其帳號密碼 已經被其資安研究人員公布在社群網站上)。我們已經將這項消息通報給執法機關。

SNSLocker (偵測名稱:RANSOM_SNSLOCKER.A) 所包含的元素與絕大多數加密勒索病毒相同,例如:倒數計時、恐嚇訊息、加密檔案、提供付款連結、勒索贖金 (300 美元) 等等。

 

圖 1:SNSLocker 鎖定螢幕畫面。

SNSLocker 純粹採用 .Net Framework 2.0 並搭配一些熱門程式庫 (如 Newtonsoft.Json) 以及 MetroFramework UI 所撰寫。其核心更採用了 Microsoft .Net Crypto API 來縮短開發時間。

圖 2:SNSLocker 是以 .Net Framework 2.0 所撰寫。

先前已提到,該勒索病毒的程式碼當中含有其伺服器的帳號密碼字串。不論是刻意或是忘記,將密碼留在程式碼內,等於讓所有人都能進入其伺服器。不只這樣,其加密金鑰也可公開取得。

圖 3:程式碼中還留著伺服器帳號密碼。

架設伺服器和散布 SNSLocker
趨勢科技發現,駭客申請了一個免費的伺服器代管服務來架設幕後操縱 (C&C) 伺服器與付款伺服器。也就是說,駭客幾乎不用花費一毛錢來維護這個帳號。除此之外,SNSLocker 也利用了一個合法的數位貨幣交易閘道來接收款項,這顯示駭客在這方面並未多花費任何心思來做出自己的特色。

最後,我們看到 SNSLocker 已透過它的伺服器散布至全球各地。在我們分析的當時,其受害者早已遍布全球,儼然成為一項全球威脅。 Continue reading “SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼"

Ransomware3

強化端點防護成為多層次勒索病毒​​防禦的一環

難有可靠的統計數據可以顯示出全球勒索病毒 Ransomware (勒索軟體/綁架病毒)疫情的確切規模,但根據美國聯邦調查局的資料,單單 CryptoWal l這個變種就在短短一年多內帶來超過1,800萬美元非法暴利。顯而易見的,這已經成為黑帽駭客對受害者敲詐錢財的新歡了。這也是為什麼趨勢科技推出全面性的活動來幫你向勒索病毒說不

網路安全 NB 筆電 鎖頭

我們推出了系列文章來詳細說明多層次防禦是組織降低感染風險的最佳做法,在上一篇的文章中,我們說明大多數威脅能夠在網頁和電子郵件閘道被攔截,雖然這是真的,但確保你佈署些什麼來攔截可能穿過的東西也非常重要,這就是端點安全防護作用的地方。

犯罪份子的搖錢樹

勒索病毒 Ransomware攻擊可以具毀滅性,使企業資料無法被存取就能夠癱瘓整間企業,即便不是所有資料都會被惡意軟體加密,但很可能你會被迫將整個IT系統離線作為防禦措施,這可能導致服務中斷、生產力損失及嚴重打擊你的聲譽。

好萊塢長老教會醫療中心是最早因為這類攻擊而上新聞的機構之一,一般認為攻擊造成醫院被迫將病人轉診和取消X光、電腦斷層掃描和實驗室作業,執行長Allen Stefanek後來承認支付了40比特幣(Bitcoin)的贖金(當時約17,000美元)來取回它的檔案。他聲稱這是「回復我們的系統和行政作業最快和最有效的方式。」

這也讓我們很容易知道為什麼勒索病毒在網路犯罪世界變得如此受歡迎,以及為什麼組織必須提高預防措施來避免遭受類似的命運。

該怎麼做?

正如之前的文章所說,趨勢科技的網頁和電子郵件閘道解決方案可以攔截99%的勒索病毒威脅。大多數這類威脅都是透過這些管道來針對你組織內最脆弱的一環 – 一般使用者,但這可能被偷偷繞過的1%怎麼辦?畢竟在勒索病毒數量節節上升的時候,1%仍可能是相當大的數量,而只需要一個使用者一次的錯誤點擊就能夠讓組織陷入混亂。 Continue reading “強化端點防護成為多層次勒索病毒​​防禦的一環"