“你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

2017 年 08 月 16 日2017 年 08 月 16 日趨勢科技 TrendMicro

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能，還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒，會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者，但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒，這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具，使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎，有兩億的註冊使用者。

病毒樣本被封裝成“com.android.admin.hongyan”（hongyan就是“紅顏”）和“com.android.admin.huanmie”（huanmie就是“幻滅”）。這兩個詞常被用在中國小說中，在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

發生了什麼?
》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
除了付款有其破解方法嗎?
》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密 — SLocker 中文簡體字勒索訊息

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面（也有些設計變動）和可以在假工具執行時變更手機桌布外，這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同，新變種使用Android整合開發環境（AIDE），這是可以直接在Android上開發Android應用程式的軟體。要注意的是，使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體（APK），這樣的便利性會吸引新手來開發自己的病毒變種。繼續閱讀

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

2017 年 08 月 10 日2017 年 08 月 01 日趨勢科技 TrendMicro

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚

雖然網路釣魚（Phishing）並不僅是BYOD的問題，但它在BYOD生態系造成特別顯著的威脅，因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊，但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊，可能會影響到他們自己的設備。繼續閱讀

F2FS 檔案系統漏洞可能導致 Android 和 Linux 記憶體資料損毀

2017 年 08 月 09 日2017 年 08 月 22 日趨勢科技 TrendMicro

Android 八月份安全性公告包含了三個趨勢科技研究人員發現的檔案系統漏洞 (CVE-2017-10663、CVE-2017-10662 和 CVE-2017-0750)。這些漏洞可能造成裝置記憶體中的資料損毀，讓惡意程式在系統核心內執行惡意程式碼，進而存取並掌握更多資料。歹徒可利用惡意程式來掛載一個 F2FS (Flash-Friendly File System) 格式的磁碟來觸發這項漏洞，這個磁碟可以是實體磁碟或虛擬磁碟映像。

F2FS 是一種專門針對快閃記憶體 (NAND) 裝置 (如隨身碟) 而最佳化的檔案系統。任何可掛載 F2FS 檔案系統的裝置都存在這項潛在風險。就 Android 而言，最危險的是那些預設使用 F2FS 檔案系統的裝置，例如：Motorola、Huawei 和 OnePlus 的手機，因此有數以百萬計的用戶都可能遭駭。不過，這項攻擊技巧要能成功，駭客必須先駭入某個具備檔案系統掛載權限的執行程序才行。

至於 Linux，問題就更加嚴重。Linux 核心從 2013 年發表的 3.8 版起就開始支援 F2FS 檔案系統。因此，該版本之後的所有 Linux 裝置都存在這項潛在危險。只不過，並非所有 Linux 發行版本都會預設啟用 F2FS 功能。而那些在插入 USB 隨身碟時會自動掛載該磁碟的裝置風險最高，因為駭客只需將一個含有 F2FS 漏洞攻擊程式的隨身碟插入系統就能觸發這項漏洞。

技術細節

這項漏洞出在讀取 F2FS 檔案系統結構的程式碼：駭客只要在含有漏洞的系統上使用 losetup 來掛載一個惡意的磁碟或本地端磁碟映像檔，即可造成系統記憶體資料損毀，進而讓惡意程式在系統核心內部執行惡意程式碼。前面發布的三項漏洞都可能讓惡意程式寫入正常範圍之外的記憶體，促使系統執行其惡意程式碼。繼續閱讀

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

2017 年 08 月 05 日2017 年 12 月 08 日趨勢科技 TrendMicro

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知，勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker)，然而，最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金，否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架，趨勢科技將該病毒命名為：ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫，但這樣的可能性卻很高，因為它們全都散布同一個勒索病毒。除此之外，我們也在 Google Play 商店上發現一些名稱相似的應用程式，雖然我們仍不確定它們與前述惡意程式有何關聯，但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下：

A quick glance at LeakerLocker reveals the following infection vector:

Figure 1: LeakerLocker infection diagram

圖 1：LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載，在本文發布時，該應用程式已經遭到下架，而我們也早已將前述應用程式通報給 Google。

圖 2：Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大，惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後，首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說，若受害手機上沒有太多聯絡人、照片、通話記錄的話，惡意程式將會放棄而中止執行。

圖 3：檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

繼續閱讀

讓人中毒很深的熱門手機遊戲,本尊,山寨傻傻分不清楚?!

2017 年 08 月 01 日2017 年 08 月 03 日趨勢科技 TrendMicro

手機遊戲出現惡意軟體並非新現象。行動惡意軟體對企業和消費者來說都仍然是個問題，因為惡意程式數量一直地在攀新高。根據趨勢科技在2016年所得出的數據，光在 2016年就封鎖了6,500萬次行動威脅，出現1,920萬個不重複的惡意Android應用程式。而在2015年總共只收集到1,070萬個樣本，這巨大的差距讓不少安全專家感到擔心。

根據 Dark Reading上的一份Ponemon Institute研究報告顯示，有84%的IT安全人員對行動惡意軟體會相當擔心，相對起來擔心物聯網（IoT ,Internet of Thing）應用程式的比例只有66%。

有超過50萬人下載的「Pokemon Go指南」,竟夾帶惡意軟體

假應用程式和行動惡意軟體的例子隨處可見，特別是在遊戲市場。例如曾經風靡一時的手機遊戲Pokemon Go在2016年成為駭客和惡意分子的目標。當Pokemon Go在2016年中進入應用程式商店時，駭客們抓住這機會來誘騙使用者下載偽裝成「搶鮮版」的軟體。其他冒稱能夠協助遊戲進行的應用程式也出現問題。根據Digital Trend，有超過50萬人下載了一個「Pokemon Go指南」，那其實是被巧妙掩飾過的破解惡意軟體，讓駭客能夠去控制有安裝的手機。繼續閱讀