為什麼關鍵是要在閘道阻止勒索病毒 Ransomware (勒索軟體/綁架病毒)?因為電子郵件是勒索病毒最常使用的進入點。根據我們的分析,有71%的勒索病毒透過電子郵件散播。使用垃圾郵件並不是什麼新鮮事,勒索病毒作者持續使用這種感染途徑是因為這是已經經過考驗的做法。也是針對潛在受害者(大型企業和中小型企業)的有效途徑,因為他們通常將電子郵件用在通訊和日常運作上。2016年上半年,我們觀察到網路犯罪分子利用像JavaScript、VBScript和Office巨集文件等檔案類型來躲避傳統的安全解決方案。有些可以直接用來編寫惡意軟體。事實上,作為安全預防措施,微軟預設是關閉巨集功能。
在本文中,我們會研究各種電子郵件附件檔及勒索病毒使用這些檔案類型的變化。
檢視電子郵件附件檔
趨勢科技在上半年已經封鎖和偵測8,000萬次的勒索病毒威脅;其中有58%來自電子郵件附件檔。縱觀今年,我們看到Locky的攻擊活動及其不斷地變更電子郵件附件檔來更大量地散播。根據我們的監控,某些檔案類型在電子郵件附件檔中變多就是因為Locky。
在今年的前兩個月,我們注意到垃圾郵件使用.DOC檔案出現高峰。DRIDEX,一種以使用巨集聞名的網路銀行威脅,在那時據報會散播Locky勒索病毒。從三月到四月,我們看到使用.RAR附件檔的高峰,這也歸因於Locky的攻擊活動。
圖1、企業遭受勒索病毒攻擊的風險,因為他們是會使用巨集功能之生產力應用程式的重度使用者。
從六月到八月,Locky運作者轉而使用JavaScript附件檔。不過這類型的附件檔也會下載其他勒索病毒,像是CryptoWall 3.0和TeslaCrypt 4.0。我們還注意到Locky使用VBScript附件檔,可能是因為容易進行混淆來躲避偵測。七月中至八月,我們開始看到Locky垃圾郵件活動使用Windows腳本檔案(WSF),這可以解釋WSF為何成為最常用在病毒威脅的附件檔類型第二名。 繼續閱讀