全球爆發 Petya 勒索病毒!請持續使用PC-cillin雲端版有效防範 (現有用戶免費升級)

請注意!Petya 勒索病毒正在全球肆虐,此病毒利用相同於WannaCry(想哭)勒索蠕蟲的微軟弱點攻擊電腦,並惡意加密檔案,藉以勒索高額贖金。。
PC-cillin已能成功阻擋此病毒!若您的 PC-cillin已經到期,建議您立即續約並免費更新至最新版PC-cillin2017,以防範此新型勒索病毒攻擊,保護電腦免於遭到駭客綁架,導致重大財損。
 
            ※適用於Windows 作業系統,且PC-cillin 序號開頭為”X”者
勒索病毒攻擊事件說明:
•  勒索病毒名稱: Ransom_PETYA
•  攻擊方式:攻擊微軟的安全性弱點:MS17-010 – Eternalblue。
•  防範方式:強烈建議盡速備份、更新PC-cillin並啟動勒索剋星、更新微軟系統
•  了解更多Petya勒索病毒

PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅》即刻免費下載

 


 

《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue”永恆之藍”漏洞,三步驟防範感染

有一波大規模的 Petya 勒索病毒變種四處肆虐當中,目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA,相比五月造成全球大恐慌的WannaCry勒索病毒,Petya 散播的管道主要有兩種:其一為同樣利用透過微軟的安全性弱點:MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊,而與上次WannaCry不同的是,本次 Petya入侵電腦後,會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。

去年趨勢科技資安部落格曾經介紹過Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!該惡意程式透過發散布一封看似要應徵某項工作的電子郵件散播,受害電腦會出現藍色當機畫面,一旦電腦重新開機時會顯示骷髏頭畫面勒索訊息。這次爆發的變種讓歐洲國家重災區,報導指出多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

 

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具,以「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染:

  1. 套用 MS17-010 修補更新
    無論是企業用戶或是消費者,都建議安裝更新電腦作業系統最新的修補程式,尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ,正確配置SMB服務才能免於受到此次攻擊影響。
  2. 停用 TCP 連接埠 445 ( 請參考)
  3. 企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外,趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能,目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅,一有最新情況就會立即更新訊息。

感染過程

前面提到,該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動,並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。 Continue reading “《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue”永恆之藍”漏洞,三步驟防範感染”

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

《資安漫畫》系統漏洞是什麼? 為何要更新修補程式?

 

才一年的時間,勒索病毒家族的數量就大幅成長 752%

早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。

馬上更新修補程式,不要再拖了 !

Continue reading “《資安漫畫》系統漏洞是什麼? 為何要更新修補程式?”

< 5月勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks

 

由於 WannaCry(想哭)勒索病毒/勒索蠕蟲的大規模散播,讓勒索病毒在五月成為全世界的焦點。從最初的攻擊之後,我們又看到了 UIWIXAdylkuzz 和最近的 EternalRocks 都在使用相同的核心漏洞。

三種威脅間的共同點是MS17-010以及 Shadow Brokers 所披露的工具和漏洞。這些威脅不僅攻擊了系統上的漏洞,還充分地利用了企業在修補程式管理和系統升級上所面臨的根本難題。讓我們來看看它們所造成的影響,並思考一下為什麼這些威脅會發生。

但首先,我們來快速比較一下WannaCry、UIWIX和EternalRocks: Continue reading “< 5月勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks”

小心假 WannaCry(想哭)勒索病毒趁火打劫 !跳出中毒視窗,撥打技術支援電話,12500元台幣飛了!

小心假 WannaCry(想哭)勒索病毒/勒索蠕蟲趁火打劫 !英國警方接獲通報一名用戶在上網時電腦忽然跳出感染 WannaCry 勒索病毒警告視窗,且無法關閉。受害者不疑有他撥打電話視窗上假冒微軟技術支援的電話,並被騙取320英鎊(約12500元台幣)安裝「惡意軟體移除工具」。
這並不是第一起利用 WannaCry趁火打劫的案例,英國警方也在之前發出 WannaCry詐騙警告,提醒用戶別開啟聲稱來自英國電信的強化用戶帳號安全性的郵件,該網路釣魚信附上假的WannaCry清除工具連結,誘使用戶付費下載。

這就是所謂的技術支援詐騙,歹徒以「假裝提供協助」的方式來誘騙受害者。這類詐騙會佯稱受害者的電腦遭駭客入侵,並主動提供服務來協助受害者解決問題。通常都是假裝成大公司,如微軟的技術支援人員,並向受害者索取信用卡卡號與個人資訊。根據一個詐騙案例的受害者描述,他的畫面被鎖住而不能動。不僅瀏覽器畫面遭到凍結,鍵盤也失效,受害者必須撥打畫面上顯示的電話號碼。當受害者撥電話過去,詐騙者就會親切地提供支援來協助您解決這個問題,但會向受害者索取信用卡卡號與個人資訊。

類似這樣的事件時有所聞,之前有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。類似的案例還有:

保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

 

 

                    PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!

 

 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:

 

同場加映:防範技術支援詐騙 5 秘訣

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣:

  1. 請記住,真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此,小心那些不請自來的電話。假若您必須聯絡技術支援人員,請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
  2. 若您的螢幕已經被鎖住,然後畫面出現一個惡意廣告,千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面,請聯絡您的 IT 部門。
  3. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦,請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事,而非接電話的第一線人員。
  4. 若您已經上當,請盡快採取行動。若您已經把信用卡資料給了對方,請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取,請馬上變更您的電腦登入密碼。
  5. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝,切記隨時保持防毒軟體更新。唯有保持更新,才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

《延伸閱讀》
Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招

為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?

儘管 WannaCry 勒索蠕蟲所要求的贖金,相對於其他勒索病毒家族,其實並不算多 (300 美元),但因為它會透過網路共用來散布,所以企業每多一台電腦遭到感染,就必須多支付 300 美元贖金。如此一來,駭客將賺得荷包飽飽,但受害的企業卻損失慘重。

 

勒索病毒海撈 10 億美元

在 2016 年當中,勒索病毒 Ransomware (勒索軟體/綁架病毒)駭客集團已開始將目光從個人使用者轉移到更大的目標,也就是大大小小的企業機構,並且海撈了 10 億美元

才一年的時間,勒索病毒家族的數量就大幅成長 752%

早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。


勒索病毒威脅在各地的分布 ,雅太區感染比例最高 (2016 年 1 月至 2017 年 3 月) Continue reading “為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?”

WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差

經歷了所有這一切的恐慌,WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗,為何它如此成功,以及該做什麼來防止它再次發生。而一個令人無法想到的事實是,許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款,如果相同的事情是發生在一年之後。

沒錯,歐盟一般資料保護法規(General Data Protection Regulation,簡稱 GDPR)即將來臨,為企業帶來全新的緊迫性,意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。

資料外洩或勒索病毒?

猛一看,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟,WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。

第4.12條規定: Continue reading “WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差”

與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

一個名為「EternalRocks」的最新惡意程式,不僅會攻擊 ShadowBrokers 駭客集團從美國國安局 (NSA) 外流並被惡名昭彰的 WannaCry(想哭)勒索病毒/勒索蠕蟲所利用的 EternalBlue 和 DoublePulsar 兩個漏洞,還會攻擊其他五個由同一駭客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對 Microsoft Server Message Block (SMB) 網路資源 (如檔案及印表機) 分享通訊協定的漏洞。

建議企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然!

感染目標裝置後,會分兩階段執行安裝程序

EternalRocks 惡意程式最早是由科羅埃西亞電腦緊急應變小組 (CERT) 資安研究員 Miroslav Stampar 所發現,該惡意程式在感染目標裝置後,會分兩階段執行安裝程序。在第一階段,惡意程式會下載 TOR 用戶端 來建立通訊管道,接著再透過該管道與其幕後操縱 (C&C) 伺服器通訊。令人意外的是,該 C&C 伺服器並不會立即做出回應,而是等過了 24 小時之後才回應。這樣的延遲設計,很可能是為了躲避沙盒模擬分析技巧的測試以及資安人員的分析。 Continue reading “與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊”