磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金

磁碟加密勒索病毒HDDCryptor的變種(趨勢科技偵測為RANSOM_HDDCRYPTOR.AUSE據報在巴西和沙烏地阿拉伯感染了許多受害者。它跟2016年11月攻擊舊金山市政交通局(SFMTA)的磁碟加密惡意軟體是同一個家族,當時迫使公共交通系統手動分配路線,並打開票閘以防止運作停擺。

HDDCryptor(也被稱為Mamba)在去年9月首次出現。它可以加密透過SMB分享的網路資源,包括網路磁碟、資料夾、檔案、印表機和序列埠。它惡意使用一些免費軟體、開放原始碼軟體和商用軟體來搞亂磁碟及掛載的SMB磁碟,並且用修改過的開機引導程式(bootloader)覆寫主開機記錄(MBR),進而鎖住受感染電腦的硬碟。受感染系統重新啟動後會顯示勒贖通知而非正常的登入畫面。

[延伸閱讀:勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟 ]

 

它的感染載體讓人聯想到其他家族(如CrysisErebus Linux勒索病毒),會利用漏洞攻擊來在植入並執行惡意軟體前先取得管理員權限。到了11月下旬,HDDCryptor更新使用了更加精簡的加密程序及防沙箱和反除錯功能,更能夠去躲避防毒和其他偵測技術。

[延伸閱讀:<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播]

 

HDDCryptor修改受感染系統的MBR以顯示勒贖通知

 

開放原始碼磁碟加密軟體DiskCryptor的憑證和簽章,它是被HDDCryptor利用的工具之一 Continue reading “磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金”

《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?

太多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏

從線上交友網站個人檔案收集到的企業資訊數量,高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用,有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例,它會在未經使用者認可的情況下,擷取使用者在 Facebook 上的資訊,然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料,卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。

線上交友軟體透露過多的敏感資訊,也提供攻擊者素材

現在有越來越多的人使用線上交友尋找對象,但線上交友會對企業造成威脅嗎?使用者本身透露的資訊種類及資訊量,例如個人資料、工作場所、經常前往與居住的地點等,對於尋找對象的人而言是很有用的資訊,但同時攻擊者也會利用這些資訊,做為入侵組織的起點。

為了證實這項風險,趨勢科技研究了多個線上交友網站,初步包括 先請回答以下問題:

  • 假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員),是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)?
  • 針對線上交友網站上的特定帳戶,是否有可能追蹤到他們在其他社群網站的資料,例如 Facebook、LinkedIn 或企業網頁?

不幸的是,以上答案皆為「是」。

Honeyprofile 誘騙用個人檔案
Profile matching

(physical attributes, job information, tec.)

個人檔案匹配

(外表特徵、工作資訊等)

Location profiling 地點分析
Target’s real-word social media profile 目標現實生活的社群媒體個人檔案
Open Source Intelligence profiling 公開來源情報分析
Target’s only dating network profile 目標的線上交友網站個人檔案


1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案

 

駭客也可在線上交友網站,找到特定個人檔案之外的相應身分

在幾乎所有的線上交友網站上,我們發現如果要尋找一個已知在該網站註冊的目標,是非常容易的事。這並沒有什麼好奇怪的,因為線上交友網站可讓使用者運用各種條件來過濾對象,例如年齡、地點、教育程度、職業、薪資,當然還有外表特徵,例如身高與髮色,除了 Grindr 之外,因為此網站要求提供的個人資訊較少。

地點是非常有用的資訊,因為利用 Android 模擬器,可將 GPS 位置設定在地球上的任何地方,將所在地點設定在目標企業的地址,然後將匹配對象的半徑範圍盡可能縮小。

相反的,我們可以透過典型的公開來源情報 (OSINT) 分析,找到特定個人檔案在線上交友網站之外的相應身分。同樣的,這一點也不讓人感到驚訝,許多人太熱衷於分享過多但不必要的敏感資訊,而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出,運用手機上的交友應用程式進行三角測量,就能找到持有人的實際所在位置。

在找到目標的位置並連結目標的真實身分後,攻擊者要做的只剩下利用這些管道。我們對此進行測試,在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息,而這些訊息都正常地發送出去,未被標記為惡意訊息。

只要利用一點社交工程,很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站,例如偽裝的交友應用程式或網站,如果受害者的密碼在多處重複使用,攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件,但大多數人是在手機上使用交友應用程式,因此入侵難度較高。一旦成功入侵目標,攻擊者可嘗試劫持更多電腦,最終入侵受害者的工作及其企業網路。

接受交友就會被鎖定攻擊?

這種攻擊理論上可行,但實際上真的有發生過嗎?是的,真的有。今年初發生在以色列軍隊的鎖定攻擊,就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事,但線上交友網站上究竟發生過多少類似事件?

我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate,選擇這些網站的理由,是根據顯示的個人資訊量、互動的方式,以及無需支付初始費用。

然後,我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域,而且對象必須也接受你或給你按「讚」才能進行匹配,這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況:我們晚上在家陪伴家人時,得給搜尋範圍內每個新出現的個人檔案按「讚」(是的,我們的配偶都能諒解)。

我們也為研究訂定了幾項規則,就是不輕易答應交往,但保持開放交友心態:

  • 不率先連絡對方
  • 僅回應特定訊息 (以確認對方是否為真人,或只是傳送惡意連結)
  • 嘗試加快對話的速度;在一開始就提供對方良性社群網站的連結,讓攻擊者更容易在回覆中提供惡意連結
  • 嘗試成為被鎖定的目標;不要鎖定任何人或以網路釣魚方式攻擊任何人

以下是我們收到的訊息範例: Continue reading “《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?”

CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

 

技術分析

Figure 1 CVE-2017-0199 diagram

圖1:TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

 

郵件樣本內容如下:

Figure 2 spear-phishing email CVE-2017-0199

圖2:魚叉式釣魚郵件樣本

 

雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下: Continue reading “CVE-2017-0199:新的惡意軟體攻擊PowerPoint漏洞”

HBO 的Twitter和Facebook帳號被駭

最近的報告顯示HBO同意支付25萬美元來換取駭客從其伺服器竊取的1.5TB資料,現在他們又面臨了另一個安全漏洞。

以劫持知名社群帳號而聞名的白帽駭客組織OurMine攻下了許多電視網路認證過的Twitter和Facebook帳號。這包括了HBO的節目帳號,如“權力遊戲(Game of Thrones)”,“女孩我最大(Girls)”和“好球天團(Ballers)”。

圖1、遭駭HBO Twitter帳號截圖

 

駭客在所有的帳號上發布了相同訊息,內容如下:“你好,這裡是OurMine,我們只是在測試你的安全性,HBO團隊請聯絡我們來提升安全性 – ourmine.org à 聯絡人”。他們還在推特上發出:“讓我們讓#HBOHacked紅起來!” Continue reading “HBO 的Twitter和Facebook帳號被駭”

誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

目前,資安研究人員已 發現有超過 1,000 個應用程式感染了 SonicSpy 間諜程式 (趨勢科技命名為 ANDROIDOS_SONICSPY.HRX),這是一個可讓駭客操控 Android 裝置的惡意程式,而且至少有三個暗藏 SonicSpy 的應用程式曾經滲透到 Google Play 商店。

SonicSpy 是以熱門即時通訊軟體 Telegram 的開放原始碼為基礎所開發出來,其開放原始碼的用意就是希望讓大家能打造屬於自己的通訊平台。但 SonicSpy 卻在該軟體當中加入間諜與遠端遙控功能,然後換個名字將應用程式上架,例如:Soniac、Hulk Messenger、Troy Chat 等等。

目前感染 SonicSpy 的應用程式數量已超過  4,000 個,顯示 SonicSpy 背後應該有一個自動化開發流程。此外,資安研究人員也指出,這些間諜程式也會透過第三方應用程式市集和 網路釣魚簡訊來散布。網路釣魚簡訊 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。

[TrendLabs 資安部落格文章:Android 後門程式 GhostCtrl 可暗中錄音、錄影,而且還不只這樣…]

竊聽、偷拍、撥打高費率付費服務電話….SonicSpy 具備 73 種遠端遙控指令

SonicSpy 具備 73 種遠端遙控指令,其中包括:

  • 經由手機的麥克風來錄音。
  • 啟動手機的相機來拍照。
  • 對外撥打電話或發送簡訊到指定號碼,例如撥打高費率付費服務電話。
  • 讀取手機上的通話記錄、通訊錄名單以及 Wi-Fi 熱點清單。

Continue reading “誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!”

智慧家庭連網裝置漏洞多 趨勢科技發布2017年上半年智慧家庭網路安全摘要報告

首度公布全球連網裝置十大受害地區  駭客雙重攻擊路徑、數位連網設備三大特點曝資安風險

 

2017各大國際科技展如CeBIT、Computex與MWC等,智慧家庭產品發展與應用皆為全球矚目焦點。根據市場研究機構Juniper Research最新發布的報告顯示[1],今年智慧家庭硬體裝置與服務的營收規模將達到830億美元,預估到了2021年市場將成長兩倍,各大廠商積極搶攻智慧家庭這塊市場大餅;隨著民眾家中連網裝置數的持續增加,資安威脅的風險也日益提升。全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)發布最新「2017年上半年智慧家庭網路安全摘要報告」,指出「駭客雙重攻擊路徑」及「網路環境資安防護措施不足、未定期更換密碼」、「韌體/軟體更新頻率低」三大要素使智慧家庭使用者的網路安全狀況備受威脅。

趨勢科技網路威脅防禦技術事業群副總經理劉榮太博士表示:「現今便利的萬物連網時代,駭客在攻擊手法上也更加多變並大膽拓展攻擊對象範圍,攻擊路徑的演進朝向更全面的方向發展,甚至可能挾持連網裝置轉而用於攻擊他人;趨勢科技分析於2017年2月至6月間,透過遭控制IoT連網設備為駭客進行比特幣挖礦的案件數量已快速攀升,次數成長近一倍,隨著比特幣或以太幣這些數位貨幣的幣值攀升,駭客為創造更高獲利,預期與比特幣主題相關的感染熱潮將持續延燒。」

 

近六個月全球連網路由器網路入侵總次數超過180萬次!

全球前三大受害地區:美國、中國、英國

趨勢科技統計數據顯示,最近六個月全球經過家用網路路由器所發生的網路入侵總次數超過180萬次,其中高達八成是透過遭感染裝置由內向外 (Outbound Attack)主動攻擊的魁儡模式,駭客透過遠端執行惡意程式碼入侵挾持裝置,除了取得控制權之外,更進一步竊取用戶如密碼等機密資料,或攔截受害裝置傳輸的內容。以遭攻擊次數統計來看,全球前10國家排名依序為美國、中國、英國、香港、加拿大、澳洲、瑞典、荷蘭、台灣、俄羅斯,占全球總攻擊數約7成,顯見家中智慧連網安全已非單一區域而為各國民眾皆須戒備注意的課題。 Continue reading “智慧家庭連網裝置漏洞多 趨勢科技發布2017年上半年智慧家庭網路安全摘要報告”

Android 惡意程式威脅持續不斷,五個提升企業行動裝置安全的原則

由於全球手機作業系統主要分成 Android 和 iOS 兩大陣營,因此不論新聞上出現哪一陣營的威脅,都會引起廣大注意。根據最近一份統計,截至 2017 年 5 月為止,Android 全球活躍用戶大約超過 20 億以上,而且許多用戶都會在工作上使用到行動裝置。在這樣的情況下,不論企業或一般使用者,都應隨時掌握最新的威脅情勢,並且養成良好的使用習慣與採取最佳實務原則來保障 Android 裝置安全。

 

 

 

Android 資安公告:解決存在已久的威脅

雖然 Android 發布資安公告早已不是新聞,但所有 Android 用戶,尤其是利用行動裝置來存取企業敏感資料的使用者,千萬不能掉以輕心。

「Android 用戶對於資安公告千萬不能掉以輕心。」

七月初左右,Google 發布了當月份的資安公告,裡面包含兩項修補,解決了幾個月前所發現一些存在已久的漏洞。趨勢科技技術通訊研究員 Giannina Escueta 表示,這次的資安公告主要是針對今年三月以來一直困擾 Android 用戶的 Mediaserver 問題,包括記憶體損毀漏洞,以及遠端執行程式碼漏洞。

此外,這份資安公告也希望針對其系統多媒體架構以及 Broadcom 和 Qualcomm 相關元件的問題加以解決,還有其他 55 項 Qualcomm 非開放程式碼元件的優先問題。儘管這些問題對 Android 用戶來說是相當大的威脅,例如根據 Android Open Source Project 指出,可能讓駭客利用具備管理權限的執行程序來執行任意程式碼,但看來這次 Google 倒是及時在漏洞還未出現攻擊案例之前釋出了修補更新。

Android Open Source Project 指出:「我們未曾接到任何客戶因這些漏洞而遭到攻擊的通報,或是這些新通報問題遭到濫用的情況。」

「Judy」手機惡意程式影響數百萬 Android 用戶

然而前述漏洞還未遭到攻擊就已被修補的狀況,對行動惡意程式來說並不常見。今年稍早,有大批 Android 用戶遭到一個名為「Judy」的手機惡意程式攻擊,根據 BGR 特約作者 Yoni Heisler 指出,前後約有 3650 萬名受害者Continue reading “Android 惡意程式威脅持續不斷,五個提升企業行動裝置安全的原則”

 “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 Continue reading ” “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看”

” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “

勒索病毒 Ransomware (勒索軟體/綁架病毒)之所以會如猖狂,心理因素占很大原因。電腦或手機上的重要檔案遭到加密,對受害者來說壓力相當大,尤其會擔心:萬一不付錢檔案就救不回來,該怎麼辦?

最新勒索病毒總整理

  • Slocker: 整合了中國知名社群網站 QQ 以及原本的螢幕鎖定與檔案加密功能
  • LeakerLocker 手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資
  • Cerber 再進化: 竊取比特幣等三種數位貨幣錢包
  • Demon: 勒索訊息長得和「WannaCry」的勒索訊息很像

 

Slocker的勒索訊息大大地寫著:錢來了!還自問自答地為被駭者解惑

SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒散布的管道大多經由 QQ 群和 BBS 系統之類的網路論壇散播。

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

最新的變種其中文簡體字勒索訊息寫著:

發生了什麼?

你的文件被我加密了,解密的話帯好錢來聯繫我喔!

除了付款有其破解方法嗎?

幾乎是沒有的,除非找我付款解密

圖 :SLocker 的勒索訊息畫面。

 

此變種與其第一代變種有些差別,尤其是程式開發方式。最主要的差異在於歹徒這次採用了 Android 整合開發環境  AIDE 來撰寫,這樣可以讓其他想要從事網路勒索的駭客更容易開發屬於自己的 SLocker 變種。不過該病毒卻有些缺陷,而且檔案加密能力有點粗糙,例如,它會加密一些非必要的檔案,如:系統暫存檔案、快取檔案、系統紀錄檔案等等。

但儘管如此,它還是結合了檔案加密與螢幕鎖定雙重功能,所以對受害者來說還是具備雙重威脅。

《延伸閱讀》假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

「LeakerLocker」最新手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資

最近出現了一個名為「LeakerLocker」的最新手機勒索病毒 (趨勢科技命名為 ANDROIDOS_LEAKERLOCKER.HRX),可說更令人聞之色變。因為它並非威脅要刪除或加密檔案,而是蒐集手機上的個人資訊,然後威脅將這些資訊發送給受害者通訊錄中的每一個人。

LeakerLocker 主要是經由 Google Play 商店感染 Android 手機。趨勢科技已在 Google Play 商店當中發現三個感染該病毒的應用程式:「Wallpapers Blur HD」(散景桌布程式)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Call Recorder」(電話錄音程式),不過這些程式目前都已被 Google 下架。

:Call Recorder 應用程式。

根據趨勢科技對 Call Recorder 應用程式的分析顯示,LeakerLocker 一旦下載並安裝到裝置上,就會立即開始蒐集手機上的個人資訊。它蒐集的資訊包括:聯絡人、電話號碼及相片,同時會威脅受害者若不付錢,就要將這些資料公開,我們從另一個含有該病毒的應用程式勒索畫面就可看到這些訊息: Continue reading “” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “”

勒索病毒盛行年代,企業的四個防護對策 

Despite efforts on the part of enterprises to educate staff and enhance their ability to prevent infection, ransomware attacks still persist.勒索病毒 Ransomware (勒索軟體/綁架病毒)無疑是企業最懼怕的威脅之一,企業組織擁有眾多的數位化資料、重要應用程式和其他系統,這些關鍵資產一旦存取中斷,將迅速對造成災難。

儘管企業努力教育員工,提升人員預防感染的能力,但勒索病毒攻擊仍層出不窮。值此時刻,企業不只要迅速應對當下的威脅,也要對未來的防護有所對策。

勒索病毒:簡史

根據趨勢科技的調查白皮書「勒索病毒的過去、現在及未來」(Ransomware: Past, Present and Future) 指出,第一個勒索病毒樣本出現在 2000 年代中期,自此成為網路犯罪社群最主要的勒索工具。許多早期出現的勒索病毒運作方式跟現在剛發現的新樣本類似,在滲透受害者的系統後,對重要的檔案和資料進行加密,除了擁有解密金鑰的駭客以外,任何人均無法存取。接著攻擊者會要求贖金,通常是用無法追蹤的比特幣交付,以安全贖回檔案。

攻擊的後果大不相同:有些組織支付贖金後,檔案便解密且恢復存取。有些受害者則沒這麼好運,就算支付了贖金,也永遠拿不回遭竊的資料。

勒索病毒在 2005 與 2006 年時主要以俄羅斯的受害者為攻擊目標,直到 2012 年才擴散到其他歐洲國家。當時的攻擊者小心掩飾其蹤跡,要求透過 paysafecard 和 MoneyPak 等付款方式來交付贖金,以藏匿其惡意活動。

根據趨勢科技的調查,有些早期的勒索病毒攻擊多是為了惡作劇,利用仿真的假冒警告來說服使用者交付贖金。其他樣本則使用真正的螢幕鎖,讓使用者無法跳脫通知視窗。

 

勒索病毒家族成長達到驚人的 752%

752% 增加率: 2015 年發現 29 個不同的勒索病毒家族,到 2016 年暴增到 247 個,增幅達到驚人的 752%。

Ransomware has seen a meteoric rise.

2013 年「crypto-ransomware」現身,包括最新惡名昭彰的 CryptoLocker。這些感染變得極度危險,除了加密資料,阻擋存取,這些樣本甚至還能在未交付贖金但超過截止期後刪除加密的檔案。

網路罪犯針對未備份資料的大型企業進行攻擊,最高獲利贖金高達 10 億美元 Continue reading “勒索病毒盛行年代,企業的四個防護對策 “