重大資安事件 - 資安趨勢部落格

勒索軟體攻擊從個人電腦轉到網站

2016 年 03 月 30 日2016 年 03 月 30 日趨勢科技 TrendMicro

2月13日，英國心理諮商及心理治療協會（BACP）網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。

這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼，會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是，會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話。

安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites，並且在他的發現中分享：「一旦開發者（攻擊者）可以存取一個網站，他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後，上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是，如果網站不是使用PHP，CTB-Locker for Websites將無法作用。」

從首篇報導的勒索軟體 Ransomware事件中，難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本，發現迄今至少有102個網站被感染。繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

2016 年 03 月 29 日2017 年 06 月 29 日趨勢科技 TrendMicro

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人 — 勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦，骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊，此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件，信件內含一個連向 Dropbox 雲端空間的連結，點選連結後會發現內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

★針對此新型勒索軟體企圖修改主要開機磁區（MBR)的惡意行為，PC-cillin 雲端版已經能主動偵測並加以封鎖，建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得，光是將檔案加密還不足以逼迫使用者，因此，現在他們又開發了一種會讓電腦出現藍色當機畫面，並且在電腦重新開機時顯示勒索訊息的加密勒索軟體，使用者根本無法進入作業系統。想像一下當您打開電腦電源之後，電腦上出現的不是熟悉的 Windows 開機畫面，而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面 — 圖 1：感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR)，讓使用者無法開機，更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為，但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向下載履歷表的]Dropbox連結，求指者的照片是盜用的

研究人員指出，Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件，信件內含一個指向 Dropbox 雲端空間的連結，可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中，此連結指向一個 Dropbox 資料夾，內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔。經過進一步的分析之後，我們發現該照片應該是從網路上盜來的圖片。

繼續閱讀

勒索病毒,連警察局長辦公室也淪陷

2016 年 03 月 25 日2018 年 08 月 10 日趨勢科技 TrendMicro

警長辦公室硬碟遭到加密! 因為有人不小心從共用網路上下載了勒索病毒。猜猜看以下哪個是正確的 ?____
1.警察逮捕了歹徒
2.歹徒主動交出解密金鑰
3.警察竟付了贖金
4.FBI 追查並逮捕到歹徒

「你們的檔案都已被我加密，如果真的在乎這些數據，那麼建議你們別浪費寶貴時間，尋找不存在的解決方案」。在連續五天努力都未能解密之後，受害者無奈支付了數百美金贖金給勒索病毒 Ransomware 犯罪份子，而受害對象是警察。

本文末列舉的是 2015 年四月的例子,但這並非唯一的一個勒索病毒 Ransomware 挑戰執法單位的案例:

麻薩諸塞州 Swansea警察局在2013年支付了750美元贖金
伊利諾州 Midlothian警察局2015年支付了500美元
田納西州迪克森郡(Dickson County)治安官辦公室2015年支付了572美元。
阿拉巴馬州柯林斯維爾（Collinsville）警察局在 2015 年6 月被襲, ，導致罪犯照片資料庫被加密鎖定。駭客要求500美元贖金，但這家小鎮警局拒絕支付，而是放棄被綁架的檔案資料

加密勒索病毒看準警察局缺少IT專業人士,一再挑戰執法單位

犯罪份子鎖定美國小鎮警局,主要是看準他們人手不多，缺少IT專業人士，警察為了讓自己的工作儘快恢復正常的情況下,只能無奈選擇支付贖金。

今日的惡意程式和以往已大不相同。過去，使用者只需一套防毒軟體，或者依序執行某些步驟就能清除惡意程式的檔案和副作用，但今日的勒索病毒 Ransomware 可沒這麼好應付。勒索軟體是專為鎖住系統或某些檔案然後向使用者勒贖而設計，因此可說是場賭注：不是歹徒拿錢走人，就是受害者承受檔案全毀的代價。

雖然早期的勒索軟體變種 (尤其是那些單純只將電腦畫面鎖住的變種) 可以透過勒索軟體反制工具來解決，但一些較新的變種可就沒這麼容易對付。事實上，會將電腦系統鎖住「並且」將某些檔案加密的加密勒索軟體，可說是駭客的一招「死棋」，使用者一旦中招，立刻就陷入兩難的抉擇。

[延伸影片：勒索軟體如何運作：從感染到勒索]

沒有解密金鑰，就算勒索病毒 Ransomware被清除了，被加密的檔案還是救不回來

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)採用了現代化的加密技術，這些原本為了保護資料及通訊安全而發展出來的加密技術，會使用特殊的演算法來將檔案重新編碼，因此唯有擁有解密金鑰的人才能開啟或閱讀檔案內容。繼續閱讀

CERBER：會說話的加密勒索軟體，在俄羅斯地下市場兜售

2016 年 03 月 08 日2016 年 03 月 09 日趨勢科技 TrendMicro

「注意！注意！注意！」
「你的文件、照片、資料庫和其他重要檔案都已經被加密！」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

想想看，你系統上所有的重要檔案都被勒索軟體 Ransomware加密了。你很快就收到勒贖通知，其中一個還會發出聲音念出訊息，並告知你的檔案已經成為勒索贖金的人質，除非你依照指示付贖金。

RANSOM_Cerbera加密勒索軟體具備「語音」能力，用電腦語音來播放如下音頻檔案：

在一般的案例中，這類型的威脅會出現包含如何支付贖金和取回檔案的說明圖檔。這種創新作法讓人想起REVETON變體（或稱為警察勒索軟體），能夠根據使用者所在地來用適當的語言「說話」。

圖1、勒贖通知樣本

根據我們的調查，CERBER只使用英語；然而，當使用者透過Tor瀏覽器來點入連結，它所指向的網頁會詢問使用者要用哪種語言。儘管登錄網頁提供各種語言選項，但直到本文貼出時，只有英語有效。CERBER背後的網路犯罪分子要求使用者支付1.24比特幣（Bitcoin）（在2016年3月4日時約等於523美元），這會在七天後增加至2.48比特幣（Bitcoin）（在2016年3月4日約等於1046美元）。

圖2、詢問偏好語言的登錄網頁

繼續閱讀

企業如何對抗勒索軟體?請使用趨勢科技端點解決方案

2016 年 03 月 03 日2016 年 05 月 31 日趨勢科技 TrendMicro

勒索軟體 Ransomware 是一種嘗試加密你重要資料檔案的惡意軟體，並且會要求付錢來換取解密金鑰 ,無論是大小企業都得面對這日益嚴重問題。事實上，加密勒索軟體 ,是使用先進技術來避免被發現的勒索軟體 , 近幾個月來的勒索軟體 Ransomware相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索軟體 Ransomware的崛起。從 2013 年起，我們所偵測到的傳統勒索軟體與加密勒索軟體的比例，已從過去的80/20 演變至今日的 20/80。

光是備份還不夠

針對勒索軟體 Ransomware的完整防禦中必須包含好的備份策略。但即使你可以快速地利用雲端備份來重新復原系統，還是無法避免產生運作中斷。最好是在勒索軟體影響資料前先加以發現和消除。

[延伸閱讀：你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集 ]

特徵碼比對的限制

特徵碼比對技術仍是趨勢科技端點防禦的核心要素之一，每月封鎖了超過14億筆。特徵碼比對是打擊已知惡意軟體非常高效能的作法。然而，在進階惡意軟體（包括加密勒索軟體 Ransomware）的時代，光是特徵碼比對並無法完全保護你。

OfficeScan防護勒索軟體能力

近幾年來，趨勢科技 OfficeScan™ 已經不單單是使用特徵碼比對技術，還運用行為監測、記憶體檢查等新一代技術來偵測惡意軟體。OfficeScan V11 SP1加強了這些技術，再加入針對勒索軟體的新功能。趨勢科技 OfficeScan™ 現在具備以下這些防護勒索軟體 Ransomware功能：

使用雲端及本地端白名單來將誤判降至最低，以免影響已知的好程序（process）。
透過現有的預防/偵測層來封鎖已知惡意軟體（在檔案層級使用特徵碼比對，或是在解開封裝/記憶體檢查時使用較小的片段比對）。
將發現的未知物件與趨勢科技主動式雲端截毒服務SPN( Smart Protection Network)的全球威脅情報資料進行關聯以加強風險評估。如果物件是SPN所未知或很少看到，就會被標記為更加可疑。
使用行為監測技術來發現異常或惡意活動模式以偵測隱匿惡意軟體活動。OfficeScan會特別檢視加密或修改檔案的未知程序（process）, 以更即時發現加密勒索軟體。此外，我們也不停地更新行為偵測規則來強化勒索軟體的偵測率。
迅速終止勒索軟體程序（process）和隔離受影響的端點，大幅減少資料損失並減少/阻止勒索軟體蔓延。
注意：趨勢科技用這些新的先進功能來強化端點防護以回應這些勒索軟體攻擊。（到這裡下載OfficeScan V11 SP1及Worry-Free Standard/Advanced V9.0 SP2的最新防護勒索軟體更新。）

繼續閱讀