重大資安事件 - 資安趨勢部落格

勒索病毒跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話

2017 年 04 月 17 日2017 年 04 月 25 日趨勢科技 TrendMicro

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

< 近期勒索病毒回顧 >教學用開放原始碼勒索病毒，被網路犯罪集團用於不法用途

在前期勒索病毒回顧當中談到了一些新的 HiddenTear 勒索病毒變種，例如 Enjey Crypter (趨勢科技命名為 RANSOM_HiddenTearEnjey.A)，該病毒是從 EDA2 勒索病毒衍生而來。與 HiddenTear 一起開發的 EDA2 原本也是教學用開放原始碼勒索病毒，但後來被網路犯罪集團用於不法用途。

本次發現的許多變種都是從 HiddenTear 勒索病毒小幅修改而來。下文介紹兩隻:

GC47 (Ransom_HiddenTearGCFS.A):顯示假的 Windows 升級視窗,被加密檔案副檔名還改為髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 這隻勒索病毒會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。一旦使用者點選了「ok」按鈕，就會開始執行加密程序。被加密的檔案包括文件、多媒體檔、影像檔等等，並且檔名末端會多了「.Fxck_You」副檔名。歹徒在勒索訊息當中要求支付 50 美元的檔案解鎖費用 (約 0.04 比特幣)。繼續閱讀

TorrentLocker 勒索病毒,利用雲端服務來躲避偵測/裝萌的勒索訊息,使用Python程式語言

2017 年 03 月 11 日2017 年 05 月 02 日趨勢科技 TrendMicro

一隻名為TorrentLocker的勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測，雖然該勒索病毒的行為跟之前並沒有太大不同，但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程（social engineering ）技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案（實際上是勒索病毒檔案）。

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意，在二月底出現了PyL33t（趨勢科技偵測為Ransom_PYLEET.A）和Pickles（趨勢科技偵測為Ransom_CRYPPYT.A）。

網路文化對PyL33t勒索病毒產生了重大影響，像是其勒贖通知使用Comics Sans這種似手寫的字體字體，使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上，它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦，它會加密檔案並用.EnCrYpTeD副檔名重新命名，將桌面改成上述訊息，並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知，內文要求1比特幣的昂貴贖金（約1,200美元）。解密程式也跟勒索病毒一起植入電腦；但想解密檔案需要密碼。

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標，業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質，重要的是能夠具備主動式、多層次的安全防護：從閘道、端點、網路到伺服器。

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

電子郵件和閘道防護

趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道，如電子郵件和網頁。

魚叉式網路釣魚防護
惡意軟體沙箱
IP/網頁信譽評比技術
檔案漏洞攻擊偵測

端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

勒索病毒行為監控
應用程式控管
漏洞防護
網頁安全

網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

網路流量掃描
惡意軟體沙箱
防止橫向移動

伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

保護網頁伺服器
漏洞防護
防止橫向移動

保護中小企業和家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護，偵測和封鎖勒索病毒。

勒索病毒行為監控
IP/網頁信譽評比技術

保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

IP/網頁信譽評比技術
勒索病毒防護

大型企業》
中小企業》
一般用戶》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

台灣遭勒索病毒攻擊次數，全球排名第18名亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅

2017 年 03 月 08 日2017 年 04 月 25 日趨勢科技 TrendMicro

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元，相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評：企業威脅刷新紀錄的一年」，報告顯示2016 年網路威脅屢創新高，勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)越來越受網路犯罪集團青睞。

其中，勒索病毒造成全球企業損失金額高達 10 億美元（相當於新台幣300億元），且勒索病毒新家族數量較2015年相比成長 7 倍，顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄，網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長，而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數，也突破去年的紀錄，甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話，那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

新的勒索病毒家族數量成長 752%
平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
企業軟體與 SCADA 軟體的漏洞數量名列前茅
Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing）裝置

新的勒索病毒家族數量成長 752%

勒索病毒攻擊比以往更加難纏，新的勒索病毒家族數量在 2016 年成長了 752%，垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

繼續閱讀

Unix：會徹底改變勒索病毒遊戲規則嗎？

2017 年 03 月 06 日2017 年 02 月 22 日趨勢科技 TrendMicro

2016年是勒索病毒Ransomware（勒索軟體/綁架病毒）肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體，緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族，這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入，進而多樣化和擴展他們的平台、能力和技術，找到更多的目標。

的確，我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上，然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder（趨勢科技偵測為ELF_CRYPTOR家族）據報是第一個針對Linux系統的勒索病毒；它的目標是Linux網頁代管系統，會攻擊外掛程式或軟體（如Magento）的漏洞。而在Mac OS X系統上則有KeRanger（OSX_KERANGER），出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中，偽裝成RTF格式文件。

它們的共同點？都是Unix：多使用者、帶有命令行的作業系統，具備統一的檔案系統和簡單而強大的工具，如shell和命令列語言，可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好，包括Linux和Mac OS X.

圖1、Linux.Encoder（上方）和KeRanger（下方）加密程式庫的相似性；都使用ARM mbed TLS，它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder（左）和KeRanger（右）的函數名稱相似性，可能表示惡意軟體重寫；函數邏輯重複出現在兩個樣本上

Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統，但它們抵達的載體大多跟使用者無關，這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper（一個強制要求程式碼簽章和驗證下載軟體的安全功能）。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看，可以推測KeRanger是Linux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰，而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger，具備一個未使用的功能能夠加密/刪除OS X的Time Machine（Mac電腦的備份工具）。Linux.Encoder透過開放原始碼勒索病毒專案而誕生，開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅，而它的第三版在全球感染了600台伺服器。繼續閱讀

2016年十大重大網路資安事件

2017 年 02 月 20 日2017 年 02 月 22 日趨勢科技 TrendMicro

最麻煩的惡意程式：Mirai

分散式阻斷服務 (DDoS) 攻擊是2016年最受矚目的焦點，因為2016年出現了多起大型攻擊案例，而其幕後的幫兇就是 Mirai 惡意程式。這個 ELF 惡意程式會將受害裝置變成可用來發動 DDoS 攻擊的殭屍裝置。ELF 是 Linux 與 UNIX 系統共通的一種檔案格式，也就是說今日許多物聯網 (IoT) 裝置都有可能成為受害者。

在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後，沒多久就被駭客用來刺探各種智慧家庭裝置，並且以預設的帳號密碼登入這些裝置，使得成千上萬的智慧裝置淪為殭屍網路的成員，幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過，最受矚目的受害案例是 Dyn 這家DNS 服務廠商，該公司一些知名客戶的網站因而無法瀏覽，例如： Twitter、Reddit、Spotify 以及 SoundCloud。

繼續閱讀