勒索病毒來裝熟,竟知道受駭人的名字和地址! 除了檔案變肉票,還得當心個資販售給詐騙集團~真想哭~

若說這幾天來 WannaCry(想哭)勒索病毒/勒索蠕蟲讓我們學到了什麼,那就是:網路犯罪對全球所有企業和消費者來說,都是明確而迫切的危險。但您可曾想過,當歹徒對您的個人電腦或行動裝置發動網路攻擊時,他們要的到底是什麼?

網路犯罪集團之所以愛上勒索病毒,是因為它是一種迅速又容易的賺錢方法,但絕非唯一方法。歹徒除了將您的個人資料或金融資料加密之外,還可直接偷走您的資料。為何?因為,他們可以將資料拿到地下網路上賣給詐騙集團,讓他們從事身分冒用或其他詐騙。

停車場繳費機也「想哭」了!

台灣有網友分享,當他前往停車場取車繳費時螢幕顯示卻「想哭」病毒勒索的畫面,無法繳費,車子也出不去,只好求助停車場業者開啟閘門脫困。

街頭實驗:你會用多少錢買回手機照片?勒索病毒綁架你的回憶

如果有人失手刪去你手機內所有的相片、影片、資訊,並表示願意以金錢賠償,你願意接受多少錢去交換呢?攝影器材龍頭柯達今年初釋出將一街頭試測剪輯成廣告。工作人員在街頭隨機邀請路人提供免費充電服務,但卻在過程中製造意外刪去照片資料的假象,血淋淋的事件讓受試者重新衡量照片的價值。面對提問,受試者們不約而同地表示他們「只想要照片回來」、「回憶與照片沒辦法用金錢衡量」等對於照片的重視。然而,如果他們遇上的是勒索病毒,重新取得照片需花上更大的代價。請參考:你會用多少錢買回手機照片?勒索病毒綁架你的回憶

從個人照片等檔案被加密,升高到可能讓人飯碗不保的工作資料損失

在全球爆發 WannaCry 疫情之前,勒索病毒早已到處肆虐。事實上,根據趨勢科技資料顯示,新勒索病毒家族的數量在去年 (2016) 成長了 752%。在一般的勒索病毒攻擊當中,歹徒會將惡意程式植入您的電腦,讓您的電腦或檔案被鎖住而無法使用。歹徒會向您勒索一筆贖金,您需支付贖金才能拿到解開電腦或檔案的「虛擬鑰匙」。您若拒絕支付,但資料卻沒有備份,那麼這些資料將永遠一去不返。

那麼,風險在哪裡?根據趨勢科技最新調查顯示,勒索病毒攻擊讓 24% 的受訪者因而損失了照片,還有 18% 損失了影片。這其實不難理解,因為歹徒就是要拿您最珍貴的記憶來要脅您,這樣您才會乖乖付錢。

問題還不只這樣。每五位受訪者就有一位表示自己曾經損失了一些工作上的檔案,此外,還有 19% 的人表示自己的 Word 文件都被加密而無法讀取。突然間,原本只是讓人猶豫不決的個人資料損失,忽然升高到可能讓人飯碗不保的工作資料損失。此時,網路犯罪集團將掌握更多的籌碼來迫使受害者支付贖金,因為他們知道不可能每位員工都能輕易從工作資料損毀的困境中脫身。所以,您敢不敢跟勒索病毒賭上您的工作?

歹徒除了將您的個人資料或金融資料加密之外,還可偷走您的資料,賣給詐騙集團 Continue reading “勒索病毒來裝熟,竟知道受駭人的名字和地址! 除了檔案變肉票,還得當心個資販售給詐騙集團~真想哭~”

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”

勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:

 

勒索病毒Roza Locker 盯上遊戲玩家

勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群:遊戲玩家。Roza Locker(被偵測為RANSOM_ROZALOCK.A)是一種新的勒索病毒,針對俄語系的遊戲愛好者,會偽裝成電腦遊戲的安裝程式。開啟檔案之後,勒索病毒會要求提升權限好開始加密檔案。 Continue reading “勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦”

2016 上半年資訊安全總評報告:勒索病毒當道 變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)

2015 年底,趨勢科技曾預言 2016 年將是網路勒索之年。今年上半年短短六個當中,我們看到網路犯罪集團如何大肆擴張網路勒索行動,利用勒索病毒 Ransomware (勒索軟體/綁架病毒) 來攻擊企業,包括中、大型企業在內。

 

勒索病毒稱霸威脅版圖

勒索病毒 依然不斷成長,儼然成為一項普遍的威脅。光是 2016 上半年我們看到的新勒索病毒家族數量就已經較 2015 年一整年成長 172%。隨著勒索病毒攻擊日益精密、日漸普遍,我們相信下半年將帶來更大的損害。

 

每月新增的勒索病毒家族數量

2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%
2016 上半年新勒索病毒家族數量就已經較 2015 年一整年成長 172%

我們發現勒索病毒家族在感染手法和勒索伎倆上都不斷翻新。奪魂鋸Jigsaw 會在每隔一段時間受害者仍不支付贖金時就刪除一批被加密的檔案。同樣地,SURPRISE 會在受害者超過期限時提高贖金。

此外,我們的研究也發現,某些勒索病毒家族專門鎖定特定企業檔案,例如 SURPRISE 和 POWERWARE 會將報稅檔案加密。 Continue reading “2016 上半年資訊安全總評報告:勒索病毒當道 變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)”

報告:上半年勒索病毒幾乎比去年翻一倍 變臉詐騙及漏洞攻擊為企業資安防禦當務之急

2016上半年資訊安全總評:勒索病毒稱霸資安威脅版圖

正如趨勢科技預言,2016 年已成為網路勒索之年,且攻擊手法不斷翻新。全球資安軟體及解決方案領導廠商趨勢科技發表的2016上半年資安總評報告:「勒索病毒當道的時代」,詳細分析了今年上半年的攻擊與漏洞發展趨勢。此報告針對攻擊的成長與衝擊做了廣泛的分析,例如,2016 年至今,勒索病毒已成長 172%,而變臉詐騙攻擊 (又稱為商務電子郵件入侵Business Email Compromise, BEC)  則造成了 30 億美元的損失,此外趨勢科技也在市面上各家軟體當中發現了將近 500 個漏洞。

趨勢科技技術長 Raimund Genes 指出:「勒索病毒 Ransomware (勒索軟體/綁架病毒)有能力癱瘓它所攻擊的企業,其幕後的網路犯罪集團正積極地設法讓病毒不斷演進,使得企業因而疲於奔命。到目前為止,勒索病毒可說是稱霸了2016年的威脅版圖,各種產業都有企業蒙受巨大損失。企業必須採取多層式資安解決方案,才能以最有效的方式對抗這類隨時試圖入侵企業網路的威脅。」

 

以下是該報告整理出的 2016 上半年重大資安趨勢:

  • 台灣所偵測到的勒索病毒高達2百多萬,名列亞洲第二:2016 上半年,勒索病毒家族出現數量幾乎比 2015 年翻了一倍 (成長率 172%),更加鞏固了勒索病毒在資安版圖的地位,其攻擊涵蓋所有階層的網路。並且台灣所偵測到的勒索病毒高達2百多萬,名列亞洲第二。
勒索病毒稱霸威脅版圖:2016 上半年,勒索病毒家族出現數量幾乎比 2015 年翻了一倍
勒索病毒稱霸威脅版圖:2016 上半年,勒索病毒家族出現數量幾乎比 2015 年翻了一倍

 

  • 變臉詐騙蔓延全球:根據美國聯邦調查局 (FBI) 的資料,2016 年至今 變臉詐騙受害企業已超過 22,000 家,並且造成 30 億美元以上的損失。趨勢科技發現,美國是遭受這類攻擊最多的國家。
  • 漏洞攻擊套件收錄新漏洞並散布勒索病毒:Angler 漏洞攻擊套件因 50 名犯罪集團成員遭到逮捕而逐漸式微。然而,其他漏洞攻擊套件卻趁機崛起並紛紛取而代之,其中還包括一些新面孔,例如:Rig 和 Sundown。
  • Adobe Flash Player物聯網(IoT ,Internet of Thing)平台發現的漏洞數量持續增加:趨勢科技和 ZDI 發現並通報了多個重大瀏覽器和系統核心漏洞,而且這些都是在Pwn2Own世界駭客大賽當中所發現。
  • 資料外洩災情肆虐各種產業:上半年,不論公家機關或私人機構都發生了資料外洩事件,包括:Myspace、威訊通信(Verizon)、多家醫院以及政府機構。
  • 新版 PoS 惡意程式帶來新式攻擊:FastPoS 具備了高效率的信用卡竊取能力,災情遍及全球中小企業,也包括美國在內。此外它還有FighterPoS這個具有跨網路感染能力的變種首度現身,其性質類似蠕蟲,因此能跨網路感染。
  • 舊漏洞重獲新生:Shellshock 漏洞攻擊案例在今年上半年有所成長,儘管廠商早就釋出修補程式,但我們每個月還是會看到上千筆新的漏洞攻擊。這是一個顯示虛擬修補技術更能夠發揮作用的例子,此技術能在新漏洞出現時讓企業網路更快獲得防護。
  • 違反常理的銀行木馬程式:DYRE 網路銀行木馬程式的作者遭到逮捕之後,銀行木馬程式的數量卻因為QAKBOT 木馬程式而大增。此變種專門竊取重要資訊,包括:銀行帳號密碼、使用者瀏覽習慣,以及其他敏感的使用者資料。

Continue reading “報告:上半年勒索病毒幾乎比去年翻一倍 變臉詐騙及漏洞攻擊為企業資安防禦當務之急”

在出現勒索訊息之前,勒索病毒暗中做的四件事

勒索病毒:幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫,不僅危害一般的使用者,還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽,勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒,直到他們看到勒贖訊息突然出現在螢幕上,但那時為時已晚。

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言
最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言

對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果,在受害者看到勒贖通知之前,這中間發生了什麼事?

 

1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內,通常是以可執行檔的格式。在Windows環境,惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾,原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床,紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。
如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床,紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

2.連線到特定網站收發資訊

一旦惡意軟體進入系統,它會連上網路並且聯絡伺服器,在這個階段,勒索病毒跟命令和控制(C&C)伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡(趨勢科技偵測為RANSOM_POGOTEAR.A),惡意軟體連到特定網站來收發資訊。

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮
這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

 

 

抓寶先抓毒 即刻免費下載 PC-cillin 雲端版,抽行動電源
>> 抓寶先抓毒 即刻免費下載 PC-cillin 雲端版,抽行動電源

 

3.搜尋特定類型的檔案進行加密 Continue reading “在出現勒索訊息之前,勒索病毒暗中做的四件事”

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

Malicious-Pokemon-Go-Apps-FB會偷偷幫你點色情廣告,讓你手機帳單暴增假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身,遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。

《Pokemon GO》手機遊戲如旋風般橫掃全球,網路犯罪集團早就盯上這波熱潮,連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現,趨勢科技將它命名為:Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇,然而在經過仔細研究之後,我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。

 

在受害電腦上建立網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組。此外,駭客還透過修改系統登錄的方式,讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時,它還會在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時,就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔是複製到可卸除式磁碟時,它還會順便建立一個自動執行 (autorun) 檔案,這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟,則會複製到磁碟的根目錄。歹徒透過這樣的方式,讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示,有多個跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看,它似乎是針對阿拉伯語系的國家而開發,勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此,其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思),這似乎也透露出程式開發者的國籍。

勒索訊息畫面上出現皮卡丘的圖案
勒索訊息畫面上出現皮卡丘的圖案

Hidden Tear 釋出原始碼時闡明僅供教育用途,不得用來開發勒索病毒,但… Continue reading “這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮”

《資料圖表》勒索病毒救援計畫

Ransomware-Rescue-Plan-2

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

Continue reading “《資料圖表》勒索病毒救援計畫”

《數字會說話》9 個勒索病毒相關統計

By-the-Numbers-Ransomware

一切往錢看:

0.5-5  BTC 比特幣(Bitcoin):解開檔案需支付的贖金範圍 (2016年)

2016年 5 月,1比特幣(Bitcoin)換算成美元的匯率為 $532美金, 上次比特幣匯率突破 $500 美元為2014年

除了比特幣(Bitcoin)有些勒索病毒 (如 TrueCrypter) 接受以Amazon禮點卡的價格這類禮點卡來支付贖金

 

知名受害者:

好萊塢長老教會 (Hollywood Presbyterian) 為了救回被加密的檔案而支付給 Locky 勒索病毒17000美金

感染馬里蘭州 MedStar Health 醫院電腦系統的勒索病毒要求18500美金贖金,有消息說醫院其實支付了更多。

 

散播方式:

76%勒索病毒經由垃圾郵件散布

16%勒索病毒經由其他管道散布的百分比,包括應用程式商店、遭感染的軟體以及駭客攻擊

8%勒索病毒經由遭入侵的網站、惡意廣告以及漏洞攻擊套件散布

變種激增

2016 年 1 月至 5 月出現50個的新勒索軟體病毒家族

Continue reading “《數字會說話》9 個勒索病毒相關統計”

加密勒索軟體與「客戶」線上聊天對話實錄

 

加密勒索病毒 Ransomware (勒索軟體/綁架病毒)為了讓支付贖金的過程更容易,開始利用線上聊天與受害人進行溝通。這些新變種(偵測為Ransom_JIGSAW.H)所顯示的訊息跟早期 JIGSAW(奪魂鋸)變種類似:

圖1、 奪魂鋸ㄉJIGSAW勒贖訊息
圖1、 奪魂鋸JIGSAW勒贖訊息

 

有一個顯而易見的分別是:新變種有連結可以進入線上聊天功能:

圖2、奪魂鋸JIGSAW線上聊天功能
圖2、奪魂鋸JIGSAW線上聊天功能

 

為了測試可以做到什麼程度,我們假裝來自紐約的某公司員工,因為辦公室電腦感染了奪魂鋸JIGSAW加密勒索病毒而與”線上客服”對談,我們的對話出現在左邊,網路犯罪分子在右邊。兩邊都未經過編輯。 對話如下:


chat Continue reading “加密勒索軟體與「客戶」線上聊天對話實錄”