趨勢科技 TrendMicro | 資安趨勢部落格

趨勢科技資深威脅研究員,透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

2016 年 10 月 27 日2016 年 10 月 22 日趨勢科技 TrendMicro

Yara 是一個資安研究人員所使用的開放原始碼工具，可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久，一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS) 威脅，不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本，原本我打算在這些樣本之間找找看有沒有共同的字串，但沒有成功。後來我比對了各檔案之間的結構發現，每一個檔案末端都有一段有趣的內容，從位移 0xde000 處開始：

圖 1：Stampado 勒索病毒樣本內容以十六進位碼顯示。

檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事，他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客，說明中有提到這件事：

圖 2：給 Stampado 買家的使用說明。

我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組，數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號)，然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用，因為在 DOS/Windows 系統下，如果要換行的話，正確的方式是 0x0d 0x0a (也就是 CR + LF：返回開頭並前進一行)，至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣， Stampado 的樣本檔案末端都會帶著一個 CR 符號，這也算是個有趣的特徵，這樣就能建立 Yara 規則來偵測這個惡意程式。繼續閱讀

防毒軟體 | PC-cillin 2017雲端版,提供更加強大的勒索病毒防護-AV-Comparatives 、AV-TEST掛保證

2016 年 10 月 26 日2016 年 10 月 25 日趨勢科技 TrendMicro

趨勢科技很榮幸地推出PC-cillin2017雲端版，領先業界的防毒軟體最新版，讓你可以安全地享受你的數位生活。不僅提供了先進的網路安全和隱私防護，免於病毒、垃圾郵件(SPAM)、網路釣魚（Phishing）和身份竊盜的威脅，今年的版本還提供更加強大的勒索病毒 Ransomware (勒索軟體/綁架病毒)防護。

勒索剋星可防止勒索病毒將你所選擇資料夾內的檔案變成勒贖的人質
為Android設備提供加強的勒索病毒防護

►《延伸閱讀》全台每8秒一個裝置受到勒索病毒攻擊！網友心痛指數抓狂排行 No.1：【那一年我們的照片被綁架】

趨勢科技的PC-cillin 2017提供了跨越個人電腦、Mac和行動設備的防護。特色是擴大了保護用戶的能力來對抗勒索病毒、惡意威脅和身份竊盜。

PC-cillin 雲端版每天防範超過2.5億種病毒威脅,從保護你的數位照片收藏到防護敏感財務記錄，提供給消費者最完整的防護。

PC-cillin雲端版榮獲AV-TEST年度「最佳防護認證」，AV-Comparatives惡意威脅防護力No.1，創新針對最新病毒、勒索軟體等惡意威脅提供最佳防護，保護您的電腦、手機和平板，防止中毒和各種網路威脅，是最值得信賴的防毒軟體。

惡意威脅防護力No.1
AV-Comparatives防毒軟體真實環境測試年度報告，2015年8月~2016年6月
防護力、效能「頂尖產品」雙認證
AV-TEST防毒軟體報告，2016年4月

趨勢科技PC-cillin 2017提供給家庭用戶的系列產品

PC-cillin 2017雲端版 | PC-cillin for Mac| 行動安全防護(Android) | 行動安全防護(iOS) | 密碼管理通

每次要開始製作趨勢科技提供給消費者的最新PC-cillin版本時，我們都會在前一年版本的基礎上，將目標放在提供給我們客戶最全面的安全解決方案。

趨勢科技PC-cillin 2017的重點

勒索剋星提供多一層防護給個人電腦，此功能可以防止勒索病毒將你所選擇資料夾內的檔案變成勒贖的人質
為Android設備提供加強的勒索病毒防護
防止身份竊盜和封鎖即時通應用程式內的危險連結，包括WhatsApp的和LINE
Android的弱點防護掃描 – 警告你注意可能被駭客利用的應用程式
App 安心鎖 – 利用 App 安心鎖防止未經授權存取應用程式（包括系統設定）
阻止線上廣告追蹤程式收集你在iOS上的資料
允許以私密方式上網瀏覽，而不會在iOS上留下歷史記錄

繼續閱讀

趨勢科技TippingPoint新一代入侵防護系統 (NGIPS) 榮獲NSS Labs推薦

2016 年 10 月 25 日2016 年 10 月 25 日趨勢科技 TrendMicro

【2016年10月25日台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼：4704)今天宣布，趨勢科技 TippingPoint新一代入侵防護系統(NGIPS)在2016年NSS Labs NGIPS測試當中奪得「推薦」(Recommended)的榮耀。趨勢科技在這項測試當中拿下99.5%的綜合成績，再次證明趨勢科技在入侵防護市場的領導地位與企業資安防護無可匹敵的聲望。

趨勢科技TippingPoint副總裁暨總經理Donald Closser表示：「榮獲競爭激烈的NSS Labs『推薦』榮耀，證明了趨勢科技是業界的領導者，並且展現了我們卓越而值得客戶信賴的網路防禦。隨著今日威脅情勢日益精密，TippingPoint 也採取了同樣精密的防護技巧，提供符合成本效益的方式來保護企業的網路、資料和智慧財產。」

TippingPoint新一代入侵防護系統提供了整合式進階威脅防護來即時防堵已知的漏洞以及所有可能的攻擊變化手法。此外，透過此進階威脅防護解決方案，也讓使用者能夠偵測、分析、回應未知的惡意程式和進階威脅，涵蓋所有網路流量、連接埠及100多種通訊協定。此外，TippingPoint NGIPS的客戶還能獲得趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫所提供的資訊搶先掌握漏洞的揭露，在漏洞修補之前的空窗期當中預先加以防範。

NSS Labs, Inc.執行長Vikram Phatak表示：「TippingPoint的新一代入侵防護系統在我們測試當中展現了卓越的防護力，成功阻擋了99.5%的攻擊與所有規避技巧。該裝置通過了每一項穩定性與可靠性考驗，而且達到零誤判，並能準確偵測惡意內容。」

NSS Labs的NGIPS 評比測試分析了市面上八家 NGIPS 裝置的防護成效、效能、持有成本、穩定性以及可靠性。隨著進階威脅與針對性攻擊/鎖定目標攻擊(Targeted attack )數量不斷攀升，NSS Labs的報告為客戶提供了一份公正的第三方資源，證明TippingPoint NGIPS是一套有效且價格合理的威脅偵測解決方案。

如需完整報告，請至：NSS Labs report。

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

2016 年 10 月 25 日2017 年 02 月 07 日趨勢科技 TrendMicro

網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年，我們看到玩家遭到各種網路釣魚攻擊，不然就是遊戲帳號被盜。至於遊戲公司，則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關，不過，我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出，網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲，簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中，玩家很容易產生互相比較的心理，因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家，通常都是人人稱羨的對象。

然而，有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力，以便在短期之內迅速累積大量遊戲幣。當然，這樣的行為讓遊戲開發人員和廠商不齒，因為這簡直就是作弊，是一種可能被「封帳號」的違規行為。

當然，在線上遊戲當中作弊並不犯法，就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點，也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

企業連帶成了受害者

網路犯罪集團藉由經營線上遊戲幣業務來充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。繼續閱讀

勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力

2016 年 10 月 24 日2016 年 10 月 24 日趨勢科技 TrendMicro

2015年7月，一個名為「Encryptor RaaS」（趨勢科技偵測為RANSOM_CRYPRAAS.SM）的新勒索病毒即服務（Ransomware-as-a-Service）浮出檯面，想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬：跨平台，吸引人的價格，而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅，因為Encryptor RaaS可以對會員提供客製化服務。

Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板，讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來（如Cerber，開發者抽取40%的佣金），Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒，當然,為了躲避追查,比特幣（Bitcoin）是首選交易貨幣。

早在2016年3月，趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒，同時也不斷地利用反防毒服務和加密服務。

但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落？

犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID，並不需要其他技術專長

Encryptor RaaS會在表層網路和黑暗網路（Dark Web）的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外，並不需要其他技術專長。他們還會取得一個「客戶ID」，所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額，並選擇使用哪些方法來散播定製的惡意軟體。繼續閱讀