“你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 Continue reading ” “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看”

” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “

勒索病毒 Ransomware (勒索軟體/綁架病毒)之所以會如猖狂,心理因素占很大原因。電腦或手機上的重要檔案遭到加密,對受害者來說壓力相當大,尤其會擔心:萬一不付錢檔案就救不回來,該怎麼辦?

最新勒索病毒總整理

  • Slocker: 整合了中國知名社群網站 QQ 以及原本的螢幕鎖定與檔案加密功能
  • LeakerLocker 手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資
  • Cerber 再進化: 竊取比特幣等三種數位貨幣錢包
  • Demon: 勒索訊息長得和「WannaCry」的勒索訊息很像

 

Slocker的勒索訊息大大地寫著:錢來了!還自問自答地為被駭者解惑

SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒散布的管道大多經由 QQ 群和 BBS 系統之類的網路論壇散播。

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

最新的變種其中文簡體字勒索訊息寫著:

發生了什麼?

你的文件被我加密了,解密的話帯好錢來聯繫我喔!

除了付款有其破解方法嗎?

幾乎是沒有的,除非找我付款解密

圖 :SLocker 的勒索訊息畫面。

 

此變種與其第一代變種有些差別,尤其是程式開發方式。最主要的差異在於歹徒這次採用了 Android 整合開發環境  AIDE 來撰寫,這樣可以讓其他想要從事網路勒索的駭客更容易開發屬於自己的 SLocker 變種。不過該病毒卻有些缺陷,而且檔案加密能力有點粗糙,例如,它會加密一些非必要的檔案,如:系統暫存檔案、快取檔案、系統紀錄檔案等等。

但儘管如此,它還是結合了檔案加密與螢幕鎖定雙重功能,所以對受害者來說還是具備雙重威脅。

《延伸閱讀》假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

「LeakerLocker」最新手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資

最近出現了一個名為「LeakerLocker」的最新手機勒索病毒 (趨勢科技命名為 ANDROIDOS_LEAKERLOCKER.HRX),可說更令人聞之色變。因為它並非威脅要刪除或加密檔案,而是蒐集手機上的個人資訊,然後威脅將這些資訊發送給受害者通訊錄中的每一個人。

LeakerLocker 主要是經由 Google Play 商店感染 Android 手機。趨勢科技已在 Google Play 商店當中發現三個感染該病毒的應用程式:「Wallpapers Blur HD」(散景桌布程式)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Call Recorder」(電話錄音程式),不過這些程式目前都已被 Google 下架。

:Call Recorder 應用程式。

根據趨勢科技對 Call Recorder 應用程式的分析顯示,LeakerLocker 一旦下載並安裝到裝置上,就會立即開始蒐集手機上的個人資訊。它蒐集的資訊包括:聯絡人、電話號碼及相片,同時會威脅受害者若不付錢,就要將這些資料公開,我們從另一個含有該病毒的應用程式勒索畫面就可看到這些訊息: Continue reading “” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “”

Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?

6 月 10 日,南韓網站代管公司 NAYANA  遭到最新的 襲擊,勒索病毒 Ransomware (勒索軟體/綁架病毒)共有 153 台 Linux 伺服器 感染 Linux 版 Erebus 勒索病毒 (趨勢科技命名為 RANSOM_ELFEREBUS.A),這項攻擊導致該公司的 3,400 家代管服務客戶的企業網站、資料庫與多媒體檔案遭到加密。

根據 NAYANA 官網上所發布的最新 消息,駭客顯然已成功逼迫該公司支付贖金,並且約定分三階段付款以取得所有檔案的解密金鑰。不過本文截稿為止,NAYANA 還未取得第一階段的解密金鑰。

Erebus 讓 IT 系統管理員了解到資安對企業流程系統與伺服器的重要性。這類系統和伺服器若未妥善加以保護,很可能對企業的營運、商譽及獲利能力造成加倍的損失。

[延伸閱讀: 近三成企業重複感染加密勒索病毒,透漏什麼訊息?]

Erebus 從原本利用漏洞攻擊套件演化成可避開使用者帳戶控制

Erebus 勒索病毒 (RANSOM_EREBUS.A) 首次現身於 2016 年 9 月,當時是經由惡意廣告散布。這些惡意廣告會將受害者重導至含有 Rig 漏洞攻擊套件的網站,該套件會在受害者的電腦上植入勒索病毒。這個 Erebus 變種可加密的檔案類型有 423 種,採用 RSA-2048 加密演算法,被加密的檔案會多了一個「.ecrypt」副檔名。此版本的 Erebus 是利用南韓境內已遭入侵的網站來當成幕後操縱 (C&C) 伺服器。

2017 年 2 月,Erebus 又重新演化出新的版本與手法,這一次,它使用了一種可以避開 Windows 電腦「使用者帳戶控制 (UAC)」機制的技巧,以便可以用管理員權限來執行勒索病毒。Erebus 會在勒索訊息當中威脅受害者必須在 96 小時內支付 0.085 比特幣 (依 2017 年 6 月 15 日的匯率約合 216 美元) 的贖金,否則將刪除受害者被加密的檔案。此版本的 Erebus 病毒 (RANSOM_EREBUS.TOR) 還會刪除系統還原點來防止受害者還原系統。

[延伸閱讀: 從技術面分析具備程式碼注射與網路共用資料夾加密能力的 SOREBRECT 無檔案式勒索病毒。]

Erebus 勒索病毒現在可感染伺服器

NAYANA 公司的伺服器所感染的是移植到 Linux 平台的 Erebus 勒索病毒版本。根據趨勢科技的持續分析顯示,此變種採用非重複的 AES 金鑰來加密檔案,而 AES 金鑰再用 RSA 演算法加密。它甚至內含一個假的藍牙服務來確保即使系統或伺服器重新開機也會再自動執行。此外,更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。如同 NAYANA 的案例,剛開始它所要求的贖金為 10 比特幣 (約 24,689 美元),但後來贖金降到了 5 比特幣 (約 12,344 美元)。

此版本的 Erebus 病毒可加密 433 種檔案類型,包括以下幾種: Continue reading “Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?”

預防下一波勒索病毒攻擊, 3 步驟即刻啟動 PC-cillin 2017 「勒索剋星 」給檔案最嚴密防護!

在趨勢科技舉辦的票選爸爸最需要的防毒軟體功能投票結果中,網友最推薦 PC-cillin2017的【勒索剋星】,因為它能保護指定資料夾內的檔案不受勒索病毒的攻擊,這樣爸爸就不怕珍貴的照片被綁架了 !

▲就算上網再小心,不亂下載不明檔案…病毒和駭客還是會自動找上門來啊!

最近一兩年讓大家聞之色變的「數位威脅」莫過於「勒索病毒」了吧?一但中招,電腦中的重要資料就會被駭客加密而無法還原,只能選擇交付贖金來解鎖檔案,或是淚眼看著珍貴的回憶、重要的文件付之一炬…不過現在你可以選擇透過 PC-cillin 2017 雲端版的「勒索病毒 3+1 多重防護」為你主動偵測並封鎖勒索病毒來源的網頁、電郵或社群網站上分享的網址,並即時偵測勒索病毒的加密行為,甚至還能預先設置好重要資料保護的資料夾,完全封鎖勒索病毒的惡質行為哦!

 

預防下一波勒索病毒攻擊! PC-cillin 2017 「勒索剋星」給檔案最嚴密防護

勒索剋星保護您的珍貴檔案

勒索病毒 Ransomware (勒索軟體/綁架病毒)不斷變種!擔心工作檔案、珍貴照片再也喚不回?PC-cillin 2017創新勒索剋星,給您重要檔案最嚴密防護!只要選取要保護的資料夾,「勒索剋星」便會保護資料夾內的檔案不受到勒索病毒的攻擊。一旦有可疑程式企圖加密受到保護的檔案時,「勒索剋星」會立即警告您,保護您最珍貴的檔案!

如何啟動勒索剋星?

小建議:

  • 可將「受保護資料夾」設定為常用資料夾,如我的文件或C槽
  • 完成設定後,勒索剋星就能保護此資料夾及子資料夾內所有檔案
  • 勒索剋星只能選定一個資料夾進行保護,方便用戶統一管理

完成設定!勒索病毒通通Out!

 

 


一套抵三套!不只守護你的電腦,連手機平板也滴水不漏!


PC-cillin 2017 雲端版除了支援四大平台,還讓你可以一套同時安裝在三個裝置上哦!


《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?

儘管 WannaCry 勒索蠕蟲所要求的贖金,相對於其他勒索病毒家族,其實並不算多 (300 美元),但因為它會透過網路共用來散布,所以企業每多一台電腦遭到感染,就必須多支付 300 美元贖金。如此一來,駭客將賺得荷包飽飽,但受害的企業卻損失慘重。

 

勒索病毒海撈 10 億美元

在 2016 年當中,勒索病毒 Ransomware (勒索軟體/綁架病毒)駭客集團已開始將目光從個人使用者轉移到更大的目標,也就是大大小小的企業機構,並且海撈了 10 億美元

才一年的時間,勒索病毒家族的數量就大幅成長 752%

早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。


勒索病毒威脅在各地的分布 ,雅太區感染比例最高 (2016 年 1 月至 2017 年 3 月) Continue reading “為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?”

WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差

經歷了所有這一切的恐慌,WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗,為何它如此成功,以及該做什麼來防止它再次發生。而一個令人無法想到的事實是,許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款,如果相同的事情是發生在一年之後。

沒錯,歐盟一般資料保護法規(General Data Protection Regulation,簡稱 GDPR)即將來臨,為企業帶來全新的緊迫性,意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。

資料外洩或勒索病毒?

猛一看,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟,WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。

第4.12條規定: Continue reading “WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差”

與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

一個名為「EternalRocks」的最新惡意程式,不僅會攻擊 ShadowBrokers 駭客集團從美國國安局 (NSA) 外流並被惡名昭彰的 WannaCry(想哭)勒索病毒/勒索蠕蟲所利用的 EternalBlue 和 DoublePulsar 兩個漏洞,還會攻擊其他五個由同一駭客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對 Microsoft Server Message Block (SMB) 網路資源 (如檔案及印表機) 分享通訊協定的漏洞。

建議企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然!

感染目標裝置後,會分兩階段執行安裝程序

EternalRocks 惡意程式最早是由科羅埃西亞電腦緊急應變小組 (CERT) 資安研究員 Miroslav Stampar 所發現,該惡意程式在感染目標裝置後,會分兩階段執行安裝程序。在第一階段,惡意程式會下載 TOR 用戶端 來建立通訊管道,接著再透過該管道與其幕後操縱 (C&C) 伺服器通訊。令人意外的是,該 C&C 伺服器並不會立即做出回應,而是等過了 24 小時之後才回應。這樣的延遲設計,很可能是為了躲避沙盒模擬分析技巧的測試以及資安人員的分析。 Continue reading “與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊”

勒索病毒來裝熟,竟知道受駭人的名字和地址! 除了檔案變肉票,還得當心個資販售給詐騙集團~真想哭~

若說這幾天來 WannaCry(想哭)勒索病毒/勒索蠕蟲讓我們學到了什麼,那就是:網路犯罪對全球所有企業和消費者來說,都是明確而迫切的危險。但您可曾想過,當歹徒對您的個人電腦或行動裝置發動網路攻擊時,他們要的到底是什麼?

網路犯罪集團之所以愛上勒索病毒,是因為它是一種迅速又容易的賺錢方法,但絕非唯一方法。歹徒除了將您的個人資料或金融資料加密之外,還可直接偷走您的資料。為何?因為,他們可以將資料拿到地下網路上賣給詐騙集團,讓他們從事身分冒用或其他詐騙。

停車場繳費機,ATM 提款機,戶外電子看版也「想哭」了!

台灣有網友分享,當他前往停車場取車繳費時螢幕顯示卻「想哭」病毒勒索的畫面,無法繳費,車子也出不去,只好求助停車場業者開啟閘門脫困。

ATM 也遭殃:

戶外電子看板也中了:

街頭實驗:你會用多少錢買回手機照片?勒索病毒綁架你的回憶

如果有人失手刪去你手機內所有的相片、影片、資訊,並表示願意以金錢賠償,你願意接受多少錢去交換呢?攝影器材龍頭柯達今年初釋出將一街頭試測剪輯成廣告。工作人員在街頭隨機邀請路人提供免費充電服務,但卻在過程中製造意外刪去照片資料的假象,血淋淋的事件讓受試者重新衡量照片的價值。面對提問,受試者們不約而同地表示他們「只想要照片回來」、「回憶與照片沒辦法用金錢衡量」等對於照片的重視。然而,如果他們遇上的是勒索病毒,重新取得照片需花上更大的代價。請參考:你會用多少錢買回手機照片?勒索病毒綁架你的回憶

從個人照片等檔案被加密,升高到可能讓人飯碗不保的工作資料損失

在全球爆發 WannaCry 疫情之前,勒索病毒早已到處肆虐。事實上,根據趨勢科技資料顯示,新勒索病毒家族的數量在去年 (2016) 成長了 752%。在一般的勒索病毒攻擊當中,歹徒會將惡意程式植入您的電腦,讓您的電腦或檔案被鎖住而無法使用。歹徒會向您勒索一筆贖金,您需支付贖金才能拿到解開電腦或檔案的「虛擬鑰匙」。您若拒絕支付,但資料卻沒有備份,那麼這些資料將永遠一去不返。

那麼,風險在哪裡?根據趨勢科技最新調查顯示,勒索病毒攻擊讓 24% 的受訪者因而損失了照片,還有 18% 損失了影片。這其實不難理解,因為歹徒就是要拿您最珍貴的記憶來要脅您,這樣您才會乖乖付錢。

問題還不只這樣。每五位受訪者就有一位表示自己曾經損失了一些工作上的檔案,此外,還有 19% 的人表示自己的 Word 文件都被加密而無法讀取。突然間,原本只是讓人猶豫不決的個人資料損失,忽然升高到可能讓人飯碗不保的工作資料損失。此時,網路犯罪集團將掌握更多的籌碼來迫使受害者支付贖金,因為他們知道不可能每位員工都能輕易從工作資料損毀的困境中脫身。所以,您敢不敢跟勒索病毒賭上您的工作?

歹徒除了將您的個人資料或金融資料加密之外,還可偷走您的資料,賣給詐騙集團 Continue reading “勒索病毒來裝熟,竟知道受駭人的名字和地址! 除了檔案變肉票,還得當心個資販售給詐騙集團~真想哭~”

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”