加密勒索軟體 - 資安趨勢部落格

近三成企業重複感染加密勒索病毒,透漏什麼訊息?

2016 年 05 月 05 日2016 年 07 月 25 日趨勢科技 TrendMicro

關於修補更新的一課：SAMSAM加密勒索軟體給我們的啟示

根據趨勢科技接獲的案例回報顯示,今年第一季感染勒索軟體 Ransomware的受害企業當中,近三成是重複感染,這透漏著什麼訊息? 會刪除備份,逼迫就範的SAMSAM加密勒索軟體告訴我們答案,跟其他的加密勒索軟體 Ransomware不同的是, SAMSAM並非利用惡意網址或垃圾郵件，而是利用未經修補伺服器的安全漏洞。

當攻擊者利用漏洞來滲透目標系統和網路，或是利用漏洞攻擊來散播安全威脅，就是修補程式管理發揮其關鍵作用的時候。去年2016年3月，SAMSAM攻擊了肯塔基州醫院，加密了所有檔案，也包括網路上的檔案。SAMSAM還從醫療產業轉移目標到教育機構。在最近一次的攻擊中，有大量伺服器和系統因為JBoss伺服器漏洞而面臨SAMSAM和其他惡意軟體攻擊。JBoss是使用JAVA的開放原始碼應用程式伺服器。使用「Destiny」軟體的系統或伺服器也蒙受其害。根據CISCO的報告，全世界幼稚園到高中的教育單位都很常使用這套軟體。Follett已經發布一個修補程式來保護Destiny軟體的使用者。

根據報導，JexBoss漏洞工具被用來安裝Webshell，這是能夠遠端管理系統的腳本程式。一旦遭駭，這些伺服器會感染後門程式、Webshell和SAMSAM。這個加密勒索軟體會透過未經修補的伺服器散布，並且將被加密的檔案加上.encryptedRSA副檔名。

進行修補所面對的挑戰

雖然的SAMSAM加密勒索軟體並非第一個利用漏洞滲透網路的威脅，但它的出現讓企業和大型機構面對另一層面的安全風險。關鍵資訊或機密資料可能會被加密和丟失，迫使企業支付鉅額贖金以換回重要資料。然而，我們高度建議不要支付贖金，因為這並無法保證企業可以取回其檔案。繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

2016 年 03 月 29 日2017 年 06 月 29 日趨勢科技 TrendMicro

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人 — 勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦，骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊，此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件，信件內含一個連向 Dropbox 雲端空間的連結，點選連結後會發現內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

★針對此新型勒索軟體企圖修改主要開機磁區（MBR)的惡意行為，PC-cillin 雲端版已經能主動偵測並加以封鎖，建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得，光是將檔案加密還不足以逼迫使用者，因此，現在他們又開發了一種會讓電腦出現藍色當機畫面，並且在電腦重新開機時顯示勒索訊息的加密勒索軟體，使用者根本無法進入作業系統。想像一下當您打開電腦電源之後，電腦上出現的不是熟悉的 Windows 開機畫面，而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面 — 圖 1：感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR)，讓使用者無法開機，更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為，但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向下載履歷表的]Dropbox連結，求指者的照片是盜用的

研究人員指出，Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件，信件內含一個指向 Dropbox 雲端空間的連結，可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中，此連結指向一個 Dropbox 資料夾，內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔。經過進一步的分析之後，我們發現該照片應該是從網路上盜來的圖片。

繼續閱讀

影片:勒索軟體就是這樣加密檔案

2016 年 03 月 17 日2016 年 03 月 18 日趨勢科技 TrendMicro

想知道今日最惡名遠播的惡意軟體實際感染時是什麼樣子嗎？這裡有勒索軟體 Ransomware 運作的短片，影片中介紹的是 CTB-Locker。這個勒索軟體跟台灣流行的 CryptLocker 一樣,會加密系統上的重要檔案和文件，用它們來勒索鉅額贖金，在此案例中為比特幣（Bitcoin）（錄製短片時大概等於500美元）。

無論你是在家裡還是在辦公室，因為它會讓你最重要的檔案無法使用。掉進勒索軟體 Ransomware陷阱的人不應該去考慮付費，因為你只是給製造勒索軟體的人,更多理由這樣做。Z防範未然勝於亡羊補牢，未雨綢繆的方法是確保安裝安全解決方案在你所使用的所有系統上，不要點擊電子郵件內的可疑連結或附件檔案，並且始終遵循3-2-1法則來備份檔案：

３份不同副本，
使用２種不同格式，
１份副本放在異地（即辦公室或家中以外的地方）。

＠原文出處：Digital Extortion in Action: See How Ransomware Works

》看更多勒索軟體文章》勒索軟體常見問題集

PC-cillin 雲端版已有增加對勒索軟體 Ransomware加密行為防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

首例! Mac 用戶也不能倖免於勒索軟體,「KeRanger」鎖定蘋果 Mac OS X 系統

2016 年 03 月 09 日2016 年 03 月 09 日趨勢科技 TrendMicro

BitTorrent 用戶端軟體暗藏第一個針對 Mac系統的勒索軟體:KeRanger

熱門的跨平台開放原始碼 BitTorrent 用戶端軟體 Transmission 在官網 (Transmissionbt.com) 上發出緊急通知，呼籲使用者立刻升級至 2.91 版本，並且將 2.90 版刪除。因為，研究人員發現該軟體的安裝程式感染了全世界第一個專門針對 Mac OS X 系統的「KeRanger」勒索軟體 Ransomware 。

這波攻擊一開始的徵兆出現在 3 月 5 日晚上，網路論壇上有人指出 Transmission 2.90 版的安裝程式含有惡意程式，而且其下載連結是 Transmission 的 HTTP 網站而非 HTTPS 網站。從下載連結的改變可以推測Transmission 官網很可能是遭到駭客入侵，並且將原本的安裝程式偷偷換成駭客重新組譯之後的惡意版本。凡是在太平洋標準時間 3 月 4 日上午 11:00 至 3 月 5 日下午 7:00 之間從 Transmission 官網下載 2.90 版安裝程式的使用者，很可能已安裝了 KeRanger 勒索軟體 (趨勢科技命名為：RANSOM_KeRanger.A)。繼續閱讀

勒索軟體以病歷當人質,好萊塢長老教會醫療中心（HPMC）癱瘓一個多星期

2016 年 02 月 19 日2016 年 03 月 09 日趨勢科技 TrendMicro

繼病毒會造成大停電, 車上聽歌汽車被挾持,現在病毒竟可以迫使病人轉院了…

好萊塢長老教會醫療中心（HPMC）的網路已經因為勒索軟體 Ransomware 攻擊而癱瘓了一個多星期。美國聯邦調查局和洛杉磯警察一直在努力查明來源和攻擊的嚴重性，但截至發稿時，這具備430個床位的洛杉磯醫院所需要的網路和電腦相關功能包括電腦斷層掃描、實驗室工作、藥劑和文書作業都還在離線狀態。無法即時查詢病例或檢查結果,造成情況危急的病人被迫轉院治療

HPMC總裁兼執行長 – Allen Stefanek宣稱此內部緊急事件已經對急診系統造成嚴重的影響，造成必須將受影響病患轉到其他醫院。雖然沒有收集到證據顯示是否有病患或員工資料遭受未經授權存取，醫院工作人員被迫轉成在紙上手動登記掛號和其他醫療記錄。