勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外,將攻擊延伸到中小企業(SMB)。這區塊是勒索軟體 Ransomware很好的潛在目標,因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。
此外,中小企業也不太可能具備如大型企業那樣全面的備份方案,增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。
這轉變中我們所看到最明顯的例子是TorrentLocker和CryptoWall,這是現今最持久也最大量的勒索軟體 Ransomware變種。
從2015年六到七月,趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。
一群新生代網路犯罪集團正在中國崛起,他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生,這群青年完全不怕被抓,不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼,然後再製作出屬於自己的惡意程式。正因為這一批人,中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware 。
鎖定Android 用戶的勒索軟體會在手機等行動裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方,使用者將無法利用正常方式將它解除安裝。。。。(當心手滑小提醒:該勒索軟體經由「video」(視訊) 和「porn」(色情) 等字眼的網域散播…)
Posted by 趨勢科技 Trend Micro
行動勒索軟體版圖年輕化,千隻變種在地下市場散播
這群年輕的網路犯罪份子之所以敢大膽地踏入原本陌生的網路犯罪領域,或許是因為當地執法寬鬆,當然更可能的是因為年輕人無知的膽量。
趨勢科技第一次注意到這群網路犯罪新生代是在監控 Android 勒索軟體 Ransomware ANDROIDOS_JIANMO.HAT 的時候。此變種會將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。《推薦閱讀》勒索軟體轉戰行動領域
我們在地下市場搜尋了一下發現,此惡意程式大約有一千多個變種。其中約有 250 個含有惡意程式作者的相關資料,包括聯絡資訊,這些人的年齡從 16 至 21 歲不等。
圖 1:惡意程式作者的 QQ (中國流行的即時通訊軟體) 帳號個人檔案,其中也包含了年齡資料 (最後一行)。
在仔細研究過這些變種之後可以明顯看出,它們全都來自同一份原始碼,而這份原始碼在地下市場流通相當廣泛。下圖顯示兩種版本的勒索軟體鎖定畫面。左邊原始版本的畫面文字欄位當中含有一些開玩笑的話。右邊修改過的版本則是含有歹徒提供給受害者的聯絡資訊。此處歹徒留下了其 QQ 群帳號。
圖 2:右側惡意程式含有一段訊息:「想破解吧?千萬別扣我qq448 (紅色部分)」。
有可能原始版本只是個雛型,因為畫面上並未提供任何付款的資訊。但當這份原始碼在地下市場流傳時,就成了勒索軟體 Ransomware變種的範本。這些年輕的網路犯罪份子只需要將自己的聯絡資訊加入程式碼當中即可。
目前,這些網路犯罪份子所要求的贖金大約在 5-10 美元左右。相較於其他勒索軟體 Ransomware來說,這價錢看似一筆小錢,但歹徒未來很可能會獅子大開口,當然也有可能是他們的受害對象很多,因此不需要求太高的金額。
感染散布方式: 「師傅」吸收「學徒」,傳授詐騙教學;學徒以幫忙散布方式來繳「學費」
正如我們先前指出,中國網路犯罪地下市場提供了各種網路犯罪教學服務。一些所謂的「師傅」會吸收一些有興趣的「學徒」,然後傳授他們一些駭客知識和技巧等等。而這群年輕人也如法泡製。他們除了從事勒索軟體 Ransomware詐騙之外,也提供了這類教學服務。
圖 3:網路聊天室上張貼的惡意程式教學廣告。 繼續閱讀
中了勒索軟體該怎麼辦?FBI回答:解密資料的最快方法就是花錢消災!美國聯邦調查局(FBI)探員在一個網路安全高峰會上表示,當他們遇到有人投訴遭到勒索軟體的攻擊時,居然是建議支付贖金以取回被駭客加密的檔案,,連美國 FBI 都破解不了的勒索病毒 Ransomware (勒索軟體/綁架病毒),到底有何本事?
勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種特殊的惡意軟體,讓你失去對自己系統或資料的控制,而且如果不付錢給這攻擊的背後黑手也就無法拿回來。基本上,你的系統或資料成為了人質,讓你被迫去支付贖金。這也就是它被稱為「勒索軟體」的原因。加密勒索軟體散播到新地區,台灣列入歐美以外最受影響的國家。
勒索病毒 散播超過十年,第一個版本早在2005年在俄羅斯現身,從那時候起,勒索軟體傳遍了全球,發展出許多不同的版本。
「你已觸犯法律,電腦已被鎖定,你的行為非法且會導致刑事責任。」勒索軟體也會冒用警方詐騙?
警察勒索病毒 為人所知的就是會宣稱使用者違反法律,進而鎖住系統。他們必須支付一大筆罰款以再次使用自己的電腦,有些不僅會顯示勒索頁面,還會播放聲音檔,警告你快點繳罰款
某些類型的勒索軟體會偽稱為當地的警察機構:贖金以「罰款」的形式出現,讓使用者不得不馬上支付。有些較複雜的警察勒索軟體會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息。
*延伸閱讀:
有一個特別麻煩的勒索病毒稱為「Cryptolocker」。它會加密你重要的檔案,只有當你支付贖金後才提供解密方法。Cryptolocker變種使用無法破解的加密演算法,所以使用者只能選擇乖乖付錢(雖然可能不會真的解密檔案)或失去他們的資料。
勒索病毒轉戰行動領域
*延伸閱讀:
加密病毒最大宗的攻擊方式是透過網路釣魚信件
有些駭客透過購買網路廣告,以內含惡意程式的廣告,散布木馬。有些網頁外觀看起來都很正常,但其中卻也可能遭植入惡意連結的網站。總之加密勒索軟體主要的攻擊管道,包含釣魚電子郵件、網頁惡意程式與惡意廣告,以及透過論壇文章瀏覽等管道。
勒索病毒曾經使用過的網路釣魚主旨:
儘管勒索訊息的內容可能有所變化,但典型的勒索軟體 Ransomware攻擊皆有共同的特徵,那就是讓使用者的電腦無法使用,然後藉此勒索贖金。很不幸地,這樣的手法在今日越來越普遍。
勒索病毒或許可說是當今最令人恐懼的電腦惡意程式類型之一,原因在於它的運作方式以及它對受害者的影響。儘管專家一再提出警告,但仍有許多使用者不斷遭到這類威脅所害。到底什麼是勒索程式?談到資訊安全或隱私權時,大多數人都只想到木馬、蠕蟲、鍵盤側錄程式這類專門竊取帳號密碼以駭入網路帳號和企業網路的惡意程式。
勒索程式是一種專門將您電腦鎖住,讓您無法使用電腦也無法存取檔案以向您勒索贖金的一種惡意程式,您可能被迫必須交出密碼或錢財給不知名的歹徒。以往,勒索程式的設計只會將您的電腦畫面鎖住,然後顯示一段警告訊息向您要求支付贖金。這類程式存在已久,而且也有各種不同形態,但是如同其他任何成功的犯罪一樣,勒索病毒如今已演化出好幾種更新、更危險的變種。 繼續閱讀
趨勢科技曾於上周發現新型態的勒索軟體 Ransomware,近日在亞太區已出現蔓延的趨勢。 此惡意程式會偽裝於 Email附加檔案中。一旦被執行,使用者電腦上的檔案將 會被加密鎖定而無法使用。同時攻擊者會要求受感染的用戶付出贖金(或透過虛 擬貨幣),獲得解密金鑰以還原被加密的文件。趨勢科技再一次提醒各位用戶, 切勿輕易打開來源不明的信件。
以下為此次勒索軟體 Ransomware的相關資訊:(真實案例)
如果按下左下角的「View」按鈕,會列出遭到加密的檔案:
此勒贖軟體還能夠任意恢復若干加密檔,以顯示其”真實性”:
截至目前為止,趨勢科技產品已可偵測攔截此勒贖軟體,( OPR病毒碼 11.445.00)並偵測為: TROJ_DALEXIS.YUU
TROJ_CRYPCTB.SME
TROJ_CRYPCTB.AU
此外,由於目前本勒贖攻擊的趨勢已擴及至亞太區,趨勢科技預測此惡意程 式短期內也將有變種的可能,在此建議用戶盡快採取以下防範措施:
1. 確認防毒軟體病毒碼更新至最新
Joefel.com
m-a-metare.fr
ourtrainingacademy.com
locamat-antilles.com
thomasottogalli.com
cds-chartreuse.fr
趨勢科技最近報導了 EMEA(歐洲、中東和非洲)地區出現 勒索軟體 Ransomware大量激增,特別是 加密勒索軟體 攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示,紐澳地區最近也受到此類惡意軟體的影響,這次是TorrentLocker勒索軟體。
感染鏈
圖一、紐澳地區攻擊的感染鏈圖解
這惡意軟體透過電子郵件到達,偽裝成來自新南威爾士州政府(在此篇裡簡稱為NSW)的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁,使用類似官方名稱的新註冊網域。
這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確,就會下載來自檔案代管網站(SendSpace)的壓縮格式惡意檔案。
一旦使用者打開壓縮檔並執行惡意程式,它會連到指揮和控制(C&C)伺服器。收發資訊成功後,惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案,並且加上.encrypted副檔名。接著,它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製(Shadow Copy),防止使用者從備份回復檔案。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,有98.28%的收件者來自澳洲。
比特幣付款
為了支付贖金,使用者需要註冊一個比特幣(Bitcoin)錢包和從建議連結購買比特幣。一旦完成付款,網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址,他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦;每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。
受此惡意軟體感染的使用者被分配如下格式的代碼:
直到12月9日,垃圾郵件發送者將密碼加入這個樣本格式:
這些網址只能透過Tor網路連上,因為其網站使用TOR2Web網路代理。使用TOR2Web,使用者就不需要安裝Tor瀏覽器來進行付款。TOR匿名網路是用來隱藏網路流量。在此案例中,其主要目的是要當使用者付費後用來隱藏解密檔案的資料。
勒贖頁面會警告贖金將會在4天或96小時後加倍。在澳洲,贖金價格是598澳幣。但如果使用者不是位於紐澳或EMEA地區,會出現以英文寫成的通用網頁來要求美金計價的贖金。
圖二、澳洲(上),西班牙(中)和非紐澳/EMEA國家(下)的勒贖訊息