分類: 勒索病毒/勒索軟體(ransomware )

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

趨勢科技 TrendMicro

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統

 

雙重攻擊:當一起攻擊掩蓋另外一起攻擊

 

 

有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。

在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。

 

在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。

不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:

 

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔

子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。

其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。

 

當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。

不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動

“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”

 

Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密 

這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。

烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。

Brown rabbit sitting in the grass.

不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。 繼續閱讀

專感染 Microsoft Word 的 Normal 範本的勒索病毒: qkG

趨勢科技 TrendMicro

可自我繁殖的文件加密勒索病毒

最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。

從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。

值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒

qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。

qkG 採用巨集撰寫惡意程式碼的作法,類似  .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus  的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。

其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。


圖 1:qkG 內容中的字串顯示其名稱和作者。 繼續閱讀

勒索病毒成為一般商品!只要 50 美元,就能取得 WannaCry 勒索病毒的終生授權

趨勢科技 TrendMicro

任何人,據稱只要 50 美元,就能取得WannaCry(想哭)勒索病毒的終生授權,而且可以無限升級。今年 5 月 14 日,我們在阿拉伯文地下網站上看到這則廣告,就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅,搖身一變成了一般性商品,只要有心,任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外,WannaCry 的價格也相對低廉,這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯北美地下市場上的犯罪分子大多以賺錢為主要目的,中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送,例如:遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且,這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。


圖 1:WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上,我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是,同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。 繼續閱讀

 “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技 TrendMicro

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 繼續閱讀

” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “

趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)之所以會如猖狂,心理因素占很大原因。電腦或手機上的重要檔案遭到加密,對受害者來說壓力相當大,尤其會擔心:萬一不付錢檔案就救不回來,該怎麼辦?

最新勒索病毒總整理

  • Slocker: 整合了中國知名社群網站 QQ 以及原本的螢幕鎖定與檔案加密功能
  • LeakerLocker 手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資
  • Cerber 再進化: 竊取比特幣等三種數位貨幣錢包
  • Demon: 勒索訊息長得和「WannaCry」的勒索訊息很像

 

Slocker的勒索訊息大大地寫著:錢來了!還自問自答地為被駭者解惑

SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒散布的管道大多經由 QQ 群和 BBS 系統之類的網路論壇散播。

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

最新的變種其中文簡體字勒索訊息寫著:

發生了什麼?

你的文件被我加密了,解密的話帯好錢來聯繫我喔!

除了付款有其破解方法嗎?

幾乎是沒有的,除非找我付款解密

圖 :SLocker 的勒索訊息畫面。

 

此變種與其第一代變種有些差別,尤其是程式開發方式。最主要的差異在於歹徒這次採用了 Android 整合開發環境  AIDE 來撰寫,這樣可以讓其他想要從事網路勒索的駭客更容易開發屬於自己的 SLocker 變種。不過該病毒卻有些缺陷,而且檔案加密能力有點粗糙,例如,它會加密一些非必要的檔案,如:系統暫存檔案、快取檔案、系統紀錄檔案等等。

但儘管如此,它還是結合了檔案加密與螢幕鎖定雙重功能,所以對受害者來說還是具備雙重威脅。

《延伸閱讀》假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

「LeakerLocker」最新手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資

最近出現了一個名為「LeakerLocker」的最新手機勒索病毒 (趨勢科技命名為 ANDROIDOS_LEAKERLOCKER.HRX),可說更令人聞之色變。因為它並非威脅要刪除或加密檔案,而是蒐集手機上的個人資訊,然後威脅將這些資訊發送給受害者通訊錄中的每一個人。

LeakerLocker 主要是經由 Google Play 商店感染 Android 手機。趨勢科技已在 Google Play 商店當中發現三個感染該病毒的應用程式:「Wallpapers Blur HD」(散景桌布程式)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Call Recorder」(電話錄音程式),不過這些程式目前都已被 Google 下架。

:Call Recorder 應用程式。

根據趨勢科技對 Call Recorder 應用程式的分析顯示,LeakerLocker 一旦下載並安裝到裝置上,就會立即開始蒐集手機上的個人資訊。它蒐集的資訊包括:聯絡人、電話號碼及相片,同時會威脅受害者若不付錢,就要將這些資料公開,我們從另一個含有該病毒的應用程式勒索畫面就可看到這些訊息: 繼續閱讀