< 病毒警訊通知 > 新勒贖軟體 TROJ_CRILOCK.PRL 

趨勢科技於近期發現一起新的勒索軟體 Ransomware爆發事件。一旦執行此惡意程式，電腦上的檔案就會被加密鎖定而無法開啟使用。與之前的勒索軟體 Ransomware相同，此惡意程式會將自己偽裝成Email附加檔案，也有可能直接從網路上下載來；除此之外，感染勒索軟體 Ransomware的電腦，會尋找網路芳鄰的共享資料夾或是網路磁碟機，若具有寫入權限的話，也會將這些共享資料夾或是網路磁碟機上的檔案進行加密。部分用戶反映因使用者電腦上C磁碟機沒有設定存取限制，因此整個C磁碟機遭到感染勒索軟體 Ransomware的電腦加密。趨勢科技在此提醒您，切勿輕易執行來源不明的檔案。

 

簡體中文勒索訊息:告知檔案即將被加密 (有受害者整個硬碟被加密)

此次勒索軟體 Ransomware與以往不同的地方在於，此勒索軟體 Ransomware執行後，會出現簡體中文的說明頁面，告知受害者的檔案即將被加密；後來發現，更有受害者的整個硬碟被加密。

而此勒索軟體 Ransomware下載後會複製一份放置於C:\Users\All Users\，只要登入至該主機的使用者皆有可能感染。同時，它也會新增以下資訊至登錄檔
\HKEY_USERS\S-1-5-21-706670597-753717926-1206375605-54909\Software\Microsoft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
\HKEY_CURRENT_USERS\Software\Microsft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
表示系統開機執行時會自動執行，且不論那一個user登入該主機皆會自動執行。

趨勢科技產品已可偵測攔截此勒索軟體 Ransomware TROJ_CRILOCK.PRL

截至目前為止，趨勢科技產品已可偵測攔截此勒索軟體 Ransomware（病毒名稱為：TROJ_CRILOCK.PRL），也將已知可能下載此勒贖軟體的惡意網站封鎖，例：

請您隨時保持您的趨勢科技產品病毒碼在最新版本，以維持最完善的防護。

趨勢科技產品防護勒贖軟體設定方法如下：

透過OfficeScan功能避免感染勒贖軟體：
1. 使用雲端掃描：

雲端掃描功能提供更高的偵測率和病毒碼更新頻率，因為勒贖軟體更新的速度很快，所以相較於傳統掃描模式，使用雲端掃描可以更快取得最新病毒碼來偵測攔截這些惡意程式。
掃描方法的切換可在『OfficeScan主控台 > 代理程式 > 代理程式管理，在點選需要切換的群組/代理程式後，點選設定 > 掃描方法』中進行設定。

2. 啟動網頁信譽評等服務：

對辦公室內部和外部的OfficeScan代理程式啟動網頁信譽評等服務(WRS)，這個功能有助於防止用戶端電腦瀏覽到含有勒贖軟體的惡意網站。
此功能可在『OfficeScan主控台 > 代理程式 > 代理程式管理，在點選需要切換的群組/代理程式後，點選設定 > 網頁信譽評等』中進行設定。

 

3. 啟動行為監控：

OfficeScan行為監控功能可透過主動雲端截毒技術驗證從HTTP 通道或電子郵件應用程式下載檔案的普遍程度，以抵禦全新的、不明的和新興的安全威脅。

• 登入OfficeScan管理主控台 > 代理程式 > 全域代理程式設定
• 請在行為監控設定區塊中，啟用功能「在執行經由 HTTP 或電子郵件應用程式下載之新發現的程式之前，先提示使用者」，並進行部署：
  

• 切換至代理程式 > 代理程式管理，選擇需要開啟的「群組/代理程式」
• 點選設定 > 行為監控設定，請啟用對已知和潛在安全威脅啟動「惡意程式行為封鎖」，並選擇「已知和潛在安全威脅」。

 

透過IM系列產品防護勒索軟體 Ransomware：

透過IM系列產品防護勒贖軟體：

在IMSx系列產品欲使用”New-Born URLs Handling Function”新功能

1. 先確認是否已安裝對應的hotfix版號以上：

• IMSS 7.1 Linux，hotfix 17200或更新版；
• IMSS 7.1 Windows，hotfix 1563或更新版；
• IMSS 7.5 Windows，hotfix 1310或更新版；
• IMSVA 8.2，hotfix 17550或更新版；
• IMSVA 8.5，hotfix 1618或更新版；
• IMSVA 9.0，hotfix 1500或更新版。

如果尚未安裝個產品相對應hotfix，請聯絡趨勢科技技術支援部。

2. 於IMSx的SPAM功能中開啟WRS功能,(New-Born URLs Handling Function是透過WRS的功能來檢查)此時(預設)即已經啟用 New-Born URLs Handling Function,不需要做額外設定
3. 由於預設就已經啟用此功能,若使用者不想使用此功能,需自行修改設定檔來停用此功能：
   1. 在”/opt/trend/imss/config”資料夾中打開 “imss.ini” 檔案
   2. 在”general”新增下列設定項目，並且將值設為”no”：
      [general]

use_new_born_for_spam  = no

註：預設值為”yes”，代表啟動此功能。

• 儲存後關閉檔案。

1. 輸入下列指令重啟服務即可：
   /opt/trend/imss/script/S99IMSS restart

透過IWSVA功能阻擋可執行檔下載避免感染勒贖軟體：

設定方式在『Advanced Threat Protection > Policies > 點選Policy名稱 > Virus/Malware Scan Rule > Block These File Types』中，勾選Executables後，點選Save，即可將可執行檔類型檔案下載進行封鎖。

 8 步驟防護勒贖軟體攻擊

最後，趨勢科技建議您注意下列事項以防護勒贖軟體攻擊事件：

1. 保持更新趨勢科技資安產品；
2. 隨時妥善備份重要資料；
3. 執行任何檔案前確定其安全性；
4. 開啟電子郵件前確認寄件者身分；
5. 審慎判別電子郵件內容真偽；
6. 勿輕易點選電子郵件中的網址連結；
7. 確認電腦的使用者權限；
8. 保持警覺、提防社交工程（social engineering ）郵件攻擊。

 [趨勢科技技術支援聯絡方式]

• 企業授權用戶技術專線: Tel: 886-2-2377-2323
• Web mail : https://www.trend.com.tw/corpmail/
• 產品技術問題請至常見問題集查詢

• 服務時間: 週一至週五 , 上午9:00~12:00 下午1:30 ~5:30 (例假日及國定假日除外)