重大資安事件 - 資安趨勢部落格

打開 Word 檔也會中勒索軟體!!新加密勒索病毒 Locky,偽裝發票,誘騙下載

2016 年 03 月 03 日2016 年 11 月 01 日趨勢科技 TrendMicro

如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 Ransomware (勒索病毒/綁架病毒)，它利用使用者對 Microsoft Word 檔比較沒有戒心的心態，企圖透過惡意巨集加以運行。

這是一個使用較少見方法進行散播的新勒索軟體 Ransomware (勒索病毒/綁架病毒):「Locky」,透過Word文件內的惡意巨集來滲透入系統。雖然勒索軟體較少出現利用巨集攻擊，但類似的散播方式可以找到知名的惡意銀行軟體DRIDEX，它也使用類似的攻擊方式。

Locky透過電子郵件進入受害者電腦，偽裝成發票並附上帶有惡意巨集的Word文件。根據研究人員表示，其相關內容如下:

郵件主旨：

ATTN: Invoice J-98223146

內文：

「Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.

（詳見隨附發票（Microsoft Word文件），並且根據發票底部所列出品項匯出付款。）」

開啟巨集才能檢視文件檔 ? 啟用巨集勒索軟體即開始暗中加密

一旦受害者不疑有他的開啟 Word檔檢視時會出現亂碼, 同時會看到以下要求啟用巨集才能正確檢視的訊息:「Enable macro if the data encoding is incorrect（如果資料編碼不正確就啟用巨集）。」事實上,巨集一旦被啟用，則開始暗中下載勒索軟體感染加密受害用戶的檔案

Locky的惡意執行檔下載自網路伺服器。一旦安裝，便會開始尋找可用的硬碟（包括網路硬碟）並加密檔案，如文件、圖片、音樂、影片、壓縮檔、資料庫和其他網頁應用程式相關檔案。加密的檔案將被重新命名，並加上「.locky」副檔名。就跟其他勒索軟體一樣，每個被加密資料夾中會附上各種語言的勒索訊息會。該訊息引導受害者到Tor網路來用比特幣（Bitcoin）（0.5 BTC）付錢。

[延伸閱讀：勒索軟體如何運作以及該如何保護自己]

Palo Alto Networks的研究人員已經紀錄了446,000條跟此新勒索軟體 Ransomware相關的連線，其中一半以上（54%）影響美國的受害者。趨勢科技將此勒索軟體偵測為RANSOM_LOCKY.A。除了美國以外，也出現在全球各地，包括日本、德國、法國、義大利、英國、墨西哥、西班牙、以色列和印度。繼續閱讀

【勒索病毒常見問題集】光是備份夠嗎? 開啟 word 附件會中招嗎?

2016 年 03 月 02 日2024 年 04 月 18 日趨勢科技 TrendMicro

在勒索病毒（Ransomware）把網友當搖錢樹的今日，幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件，專門提供沒有技術能力的新手，根據自己的需求來設定勒索細節。
在「勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬」這文章中我們了解勒索病毒可以說讓犯罪集團賺翻了，那麼，您該如何確保自己不會成為另一棵搖錢樹?

【檢測你對勒索病毒的了解程度】 【常見問題】

勒索病毒 Ransomware (勒索病毒/綁架病毒)散播超過十年,第一個版本早在2005年在俄羅斯現身, 有些冒充警察的勒索病毒會宣稱受害人違反法律，進而鎖住系統,顯示繳交罰款的勒索頁面，甚至播放聲音檔,催促繳款。RANSOM_Cerbera加密勒索病毒則用電腦語音播放：
「注意！注意！注意！」「你的文件、照片、資料庫和其他重要檔案都已經被加密！」(以下為英文播放案例)

2013年出現一個特別麻煩的勒索病毒-當時被稱為史上最狠毒的勒索病毒:「Cryptolocker」。它會加密重要的檔案，只有當你支付贖金後才提供解密方法。至此,加密勒索病毒開始大行其道，相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索病毒 Ransomware的崛起。從 2013 年起，我們所偵測到的傳統勒索病毒與加密勒索病毒的比例，已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美，到了2015年，勒索病毒開始出現簡中介面，臺灣爆發災情,受害者包含企業和個人。

【檢測你對勒索病毒的了解程度】 【常見問題】

從以下三點可以看到勒索病毒事業愈做愈大了:
1.成立技術支援團隊，全天候 7 天 24 小時提供付款電話支援服務
2.提供網路聊天的方式即時協助受害者進行付款流程
3.架設網站，提供免費試用解密工具…看完整報導

勒索病毒藏在郵件,藏在載點,藏在中獎通知,藏在冒充主管的郵件裡,藏在廣告裡…只要你上網,就是它的目標,受害使用者經常在不知不覺中，透過背景程式被偷偷下載安裝了勒索病毒。
不給錢就鎖檔,勒索病毒 Ransomware連 FBI 也沒轍?! 利用以下題目檢測一下你對勒索病毒的了解有多少?
□ 下面哪一項不是勒索病毒主要的感染途徑
A) 網路廣告
B) 被駭客入侵的網站
C) 隨身碟
D) 惡意郵件

★PC-cillin 雲端版已有增加對勒索病毒 Ransomware加密行為的防護機制，可預防檔案被勒索病毒惡意加密

提醒您,備份可以降低感染勒索病毒損失,但不是預防的方法喔!預防感染勒索病毒,除了定期更新軟體,只打開信任的郵件/連結外,平時最好安裝有針對網路釣魚及勒索病毒加強防禦的防毒軟體,可大幅降低感染風險。

假使您也不幸成了受害者，請保持冷靜，最好向外尋求協助，但不要支付贖金。如趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用

PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

繼續閱讀

加密勒索軟體日益嚴重威脅醫療產業

2016 年 03 月 02 日2016 年 03 月 03 日趨勢科技 TrendMicro

繼病毒會造成大停電, 車上聽歌汽車被挾持,現在病毒竟可以迫使病人轉院了…

最近媒體報導了多起醫療機構遭到加密勒索軟體 Ransomware攻擊的事件，而我們也接獲許多有關這項威脅最新發展的詢問。勒索軟體早已不算新聞，而它們也不再是當年的假防毒軟體。不過令人憂心的是它們氾濫的情況，以及歹徒能夠輕易地發動攻擊。然而更棘手的是增加了檔案加密功能的加密勒索軟體 Ransomware。

》延伸閱讀:
勒索軟體以病歷當人質,好萊塢長老教會醫療中心（HPMC）癱瘓一個多星期
 勒索軟體令人意想不到的經營手法!

【午間毒賣新聞】勒索軟體挾病例勒索逾1億台幣醫院電腦系統已經停擺超過1周,掛號及病歷都只能用紙筆處理同場加映:「猴平安」推薦:1分鐘認識勒索軟體,平安一整年 https://t.rend.tw/?i=NDE2OA#勒索軟體 #ransomware

趨勢科技的研究人員已經看到一股趨勢即將興起。事實上，趨勢科技技術長 Raimund Genes 已預料這項威脅將在 2016 年大幅攀升，而 2016 年才過兩個多月，他的預測似乎已經快要成真。這一點可歸諸於以下幾項原因：

網路犯罪集團的潛在獲利極高。
歹徒的社交工程（social engineering ）技巧不斷提升，使得受害者的感染機率跟著不斷攀升。
執行這類攻擊的駭客非常強大，不僅財力背景雄厚，而且遍布全球。
醫療機構有些重要的關鍵系統必須隨時維持運作。

繼續閱讀

中了勒索病毒怎麼辦 ? 只能付款了事嗎? 牢記四步驟和”三不三要”口訣

2016 年 02 月 23 日2018 年 12 月 20 日趨勢科技 TrendMicro

中了勒索軟體該怎麼辦？「建議受害人付款了事」在一個網路安全高峰會上 FBI 如是表示,，此語一出即惹來了爭議。
勒索軟體藏在郵件,藏在載點,藏在廣告裡…只要你上網,就有可能是它的覬覦目標。

前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管調離現職。根據2015年金毒獎票選，「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%。

加密勒索軟體的成長,甚至成立了技術支援團隊, 協助受害者進行付款流程

加密勒索軟體是一種專門將受害者重要檔案加密，然後挾持這些檔案來向受害者勒索贖金的惡意程式。過去十年來，我們看到勒索軟體 Ransomware的攻擊手法不斷翻新、獲利屢創新高。這類軟體以往的變種較不危險，損害也較低，且較容易偵測。但經過多年的發展，其能力已從單純將受害者電腦螢幕鎖住，演變至今日能夠將檔案加密，甚至將解密金鑰也加密的程度。專業的駭客團體現在紛紛採用一些目前無解的勒索軟體 Ransomware

變種，如：TorrentLocker 和 CryptoWall (後面有詳細說明)，而且原本零零星星的犯罪活動現在也開始企業化經營。從一些個案當中，我們甚至看到犯罪集團還成立了技術支援團隊，全天候 7 天 24 小時提供電話支援服務，或是提供網路聊天的方式即時協助受害者進行付款流程。畢竟，受害者若不付款，歹徒也賺不到錢。更專業的是，他們會架設如同正派企業一樣的網站，並提供新的功能來讓受害者免費試用其解密工具是否真能救回檔案。

從 2013 年起，我們所偵測到的傳統勒索軟體與加密勒索軟體的比例，已從過去的80/20 演變至今日的 20/80。

不僅企業是勒索軟體 Ransomware(勒索病毒/綁架病毒)攻擊目標,個人用戶受害者也不計其數

不僅企業是勒索軟體 Ransomware(勒索病毒/綁架病毒)攻擊目標,個人用戶受害者也不計其數,它會鎖住你的電腦或加密你的檔案直到你付錢為止，通常會有一個最後繳交贖款期限。現在它變得比以往任何時候都更加凶狠，在2014年，趨勢科技所偵測的48,000個樣本中有15,000個是「加密勒索軟體」。這代表自CryptoLocker以來增加了27%，CryptoLocker是一年前所出現此類惡意軟體的始祖。

加密勒索軟體/綁架病毒鼻祖CryptoLocker — 加密勒索軟體鼻祖:CryptoLocker

勒索軟體 Ransomware可能經由受駭網站，垃圾郵件或包入其他惡意軟體來進入你的電腦，並且它勒索的贖款也變得越來越貴。一開始的贖金約為24美元，但現在要求600美元或以上（或等值的比特幣（Bitcoin））也變得越來越普遍。但即便你付款，也無法保證犯罪分子會釋放你的電腦或檔案。

如何防範勒索軟體?

「您的帳戶欠款已過期」一打開”欠款明細”附檔,即刻中招! 「你的檔案已被加密,支付 600 美金索取解鎖金鑰, 96 小時後贖金加倍,倒數計時開始 !!」一旦看到勒索訊息往往為時已晚,勒索軟體胃口愈來愈大,如果你採信 FBI 花錢消災的建議,得有即使付錢也不能保證檔案會重新回到身邊的心理準備,更慘的是食髓知味的駭客,知道攻擊目標會乖乖就範,有不少案例顯示駭客會發動另一波更高金額的攻擊,再度挾持檔案當肉票。

▼ 防範未然是王道,捍衛血汗錢要趁早▼

勒索軟體不會很快地消失，它已經有效地擴散到其他平台，像是Android系統。如何保護自己防範勒索軟體 Ransomware？你可以採取以下四個步驟和”三不三要”口訣預防：

不要打開未確認的郵件或點入它們內嵌的連結，那可能會開始安裝勒索軟體。
採用3-2-1規則來備份你的重要檔案：在兩種不同媒介上建立三個備份，其中一個備份要放在不同的地方。
定期更新軟體、程式和應用程式以確保其維持在最新狀態，可以防範新的漏洞。
最後建議使用趨勢科技PC-cillin雲端版來保護你的電腦趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

使用趨勢科技PC-cillin 2016和防勒索軟體工具,對抗勒索病毒

趨勢科技PC-cillin2016雲端版可以封鎖危險網站，包括網站、社群網路、電子郵件和即時通上出現的有害連結，同時阻止病毒、網路釣魚及其他線上威脅。

它也提供了強大的保護來防止螢幕鎖定和加密勒索軟體，採用多層次防護策略來保護你。

如果這是一個已知的勒索軟體或變種，趨勢科技PC-cillin2016雲端版的即時掃描可以偵測並阻止其被下載或安裝。

當遇到未知的螢幕鎖定勒索軟體繼續閱讀

勒索軟體以病歷當人質,好萊塢長老教會醫療中心（HPMC）癱瘓一個多星期

2016 年 02 月 19 日2016 年 03 月 09 日趨勢科技 TrendMicro

繼病毒會造成大停電, 車上聽歌汽車被挾持,現在病毒竟可以迫使病人轉院了…

好萊塢長老教會醫療中心（HPMC）的網路已經因為勒索軟體 Ransomware 攻擊而癱瘓了一個多星期。美國聯邦調查局和洛杉磯警察一直在努力查明來源和攻擊的嚴重性，但截至發稿時，這具備430個床位的洛杉磯醫院所需要的網路和電腦相關功能包括電腦斷層掃描、實驗室工作、藥劑和文書作業都還在離線狀態。無法即時查詢病例或檢查結果,造成情況危急的病人被迫轉院治療

HPMC總裁兼執行長 – Allen Stefanek宣稱此內部緊急事件已經對急診系統造成嚴重的影響，造成必須將受影響病患轉到其他醫院。雖然沒有收集到證據顯示是否有病患或員工資料遭受未經授權存取，醫院工作人員被迫轉成在紙上手動登記掛號和其他醫療記錄。