【病毒史上的今天】2004年 6 月 15 日 第一支手機病毒 Cabir 誕生

2004 年:第一支手機病毒 Cabir會自動發送加值服務簡訊
2014年:從事間諜活動的 App會啟動麥克風、拍照或錄影,並且攔截來電和簡訊。

手機 mobile

 手機病毒(行動惡意程式) 誕生日:2004年 6 月 15 日

2004 年,隸屬 29A 病毒開發團體的程式設計師 Vallez 撰寫出一種名為 Cabir 的概念驗證攻擊。(請參考:2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢) 沒多久,這項概念驗證攻擊技巧即被其他駭客所吸收,同年底,網路上即流傳著更惡毒、更強大且專門感染 Symbian 行動裝置的變種。此外,高費率服務盜用程式也在 2004 年誕生並一直延續至今。Qdial 惡意程式化身熱門遊戲「Mosquitos」(蚊子) 的木馬化版本,專門感染 Symbian s60 系統的行動裝置,並且發送高費率的簡訊,使用者的因而帳單破表,歹徒卻大賺了一票。同年 11 月,毀滅性的 Skulls 病毒開始透過檔案分享網站和電子郵件散布,專門破壞重要檔案,似乎又回到十年前病毒疫情爆發的年代,而且它還融合了 Cabir 的蠕蟲功能來提升其散布能力。

 

2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢
2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

Continue reading “【病毒史上的今天】2004年 6 月 15 日 第一支手機病毒 Cabir 誕生”

「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心

5月 13日是2016年的第一個黑色星期五,也是 Friday 13th 黑色星期五在 1987 年發病以來的第29個年頭。黑色星期五,這是個被西方社會認為是不幸、不吉利的日子。據英國《每日郵報》報導,黑色星期五當天發生的交通事故比平日高出個百分點

而根據趨勢科技統計,13 號星期五當天發病的已知病毒也有五隻。但是這些病毒屬於低度風險的病毒,相較於隱藏在頁面後面看不到的威脅,它的傳播力與破壞力已經不足以構成威脅了。取而代之的是被媒體形容為宛若電腦綁架的勒索病毒 Ransomware。適逢報稅季,搶在黑色星期五之前,本周稍早即出現了勒索病毒假健保卡報稅郵件,勒索六萬台幣!

Friday 13 th

雖然「黑色星期五」病毒,曾經傳出嚴重的災情,甚至在 1996 年度高居趨勢科技病毒排行榜第二名,但28年後的今天發病時會讓 A 磁碟機一直在亮燈狀態,並顯示 “ We hope we haven‘t inconvenienced you” 訊息的黑色星期五,已經邁入毫無戰鬥力的退休狀態。

趨勢科技表示黑色星期五誕生的這年恰巧也是史上第一隻電腦病毒:大腦(Brian)首度被發現的年份。28歲對電腦病毒而言,卻是人瑞級電腦病毒,甚至可說是大量病毒爆發時代走入歷史的時刻

當年「Friday 13th-13號星期五」病毒上身時,A磁碟機會一直在亮燈狀態。「Friday 13th-13號星期五」的變種病毒很多,包括,Edge、Friday 13th- 540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B 等。事實上,感染方式相差無幾,包括增加文件長度、擴大感染範圍、出現令人哭笑不得的訊息。

另外一隻專門在13號星期五發病的知名病毒是「耶路撒冷病毒」,1987年11月耶路撒冷病毒在以色列的Hebrew大學被發現。雖然它和「13號星期五」的生日只差一個月,但感染的後遺症卻比前者嚴重。中毒電腦會出現系統執行速度變慢的現象,每逢13號星期五會在螢幕左下方出現黑色視窗,並會刪除正在執行的程式。

勒索病毒 :不給錢就鎖檔,連 FBI 都沒轍

中了勒索軟體該怎麼辦?「建議受害人付款了事」在一個網路安全高峰會上FBI 如是表示

【保護重要檔案,不能再等!!】上個月起碼有兩家醫院因勒索軟體被迫回到紙本作業;新聞曝光的受駭者至少超過五個警察局,和大型知名網站》》一般電腦用戶更因開啟熟人冒充的釣魚信、下載軟體、瀏覽惡意網頁…而遭致不計其數電腦檔案變成肉票!!

 

FB851x315

 

以下是幾個感染勒索病毒的管道

「不給錢 就鎖檔」你愛的韓劇,日劇,陸劇,電影….勒索軟體也愛!!
追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載


最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索軟體,

 

報稅季勒索軟體守株待兔,未雨綢繆方能「稅稅平安」
勒索病毒假健保卡報稅郵件,勒索六萬台幣!捍衛血汗錢,謹記網路報稅三「不」驟

Vulnerability 漏洞 勒索軟體 警告 安全

 

” 附件是 word 檔案,打開沒關係吧? ”
不給錢就鎖檔! 防止檔案成勒索軟體肉票,防範未然是王道

ransomware-word

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密,免費下載試用

Windows10Banner-540x90v5

AV-TEST :PC-cillin雲端版再度獲選為”最佳防毒軟體”


 

 

同場加映:巧合的13號星期五威脅事件:

 

Frith 13 th

2006年10月13日黑色星期五,發生日本麥當勞召回總數約1萬台的MP3播放器的贈品事件,因為其發送的MP3播放器含有會竊取使用者資料的木馬病毒 WORM_QQPASS.ADH,該木馬可透過大陸即時通訊軟體(IM)QQ傳送,當時日本麥當勞在官方網站提供趨勢科技解毒程式連結,作為危機處理。不過這事件恰巧發生在13號星期五,跟病毒設定的發病日無關。

 

黑心軟體 比黑色星期五更可怕 假防毒軟體被視為勒索病毒 Ransomware的前身

網路上出現更多比黑色星期五更危險的威脅,可能讓你看了一眼網站,就被暗中植入木馬間諜程式,這類隱匿性攻擊正結合黑心安全軟體,「假好心 真詐騙」。

由於合法網站與惡意網站之間的區別愈來愈模糊難辨,利益薰心的駭客看準安全意識較高的網友,在利用網頁等漏洞植入惡意程式後,不時跳出「發現病毒」等警告訊息,藉以販售黑心冒牌的安全軟體,如 假防毒軟體,這不但會讓受害者花冤枉錢,還會導致信用卡帳號被盜用。

【延伸閱讀】假防毒軟體從電腦移植到了 Android 平台

手機 假防毒軟體 Fake app

付費升級 信用卡還被盜用

假防毒軟體之類的黑心軟體,是一種偷偷下載或安裝至使用者電腦中的軟體。這些假好心的程式會嘗試以各種方式反覆警告使用者他們已經感染惡意程式。但事實上,使用者的電腦往往未發生感染,如果有,也是隨著下載的黑心假防毒反間諜軟體安裝到他們的電腦中。而無論是何種情況,這些「免費試用」的軟體都會要求使用者付費升級以獲得完整的功能。成千上萬的使用者因為這種手法而上當,購買了完全未提供任何服務的惡意間諜程式防護軟體,有些要價一套美元。一旦使用者發現這些軟體毫無用處時,他們才恍然大悟信用卡資料已被這些虛設的公司騙走。受害者除了損失50美元以外,還得取消信用卡,免得損失更大。

「你中毒了!」的警告視窗怎麼來的?

這些警告中毒的程式,利用多種頗富創意的方式進行安裝,以下是幾個例子:

1.漏洞:利用的弱點,只要使用者檢視電子郵件或瀏覽網站,惡意程式作者便能將程式偷偷安裝到他們的電腦中。 Continue reading “「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心”

勒索軟體:恐嚇取財手法十年進化史

勒索軟體誕生於 2006 年
2012年假冒警察,抓盜版軟體
2013年加密手法日益成熟
2014-2015年 鎖定企業,台灣也受駭…

自從我們第一次遭遇勒索軟體 Ransomware至今已過了大約十個年頭,這類軟體會挾持受害者最重要的檔案,然後逼迫受害者支付一筆金額來贖回這些資料 (因而稱為勒索軟體)。為了記錄這個有史以來發展最蓬勃、吸金能力最強大的惡意程式類型邁入十年重大里程碑,讓我們來回顧一下我們所接觸過的重大案例,看看它們這些年來是如何發展與演變。

駭客 攻擊 通用

2006 年:起源

僅管早在 2005 年中期,媒體就報導過一些勒索軟體 Ransomware的案例,但是較為精密且會採取某種加密手法的版本要在一年之後,也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A,它會搜尋受害者硬碟上某些副檔名的檔案,然後將這些檔案壓縮成含有密碼保護的壓縮檔,並將原始檔刪除。使用者若沒有任何其他備份,就只好想辦法看看能不能解開這份壓縮檔案。此外,TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息,告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。

當然,由於這是勒索軟體 Ransomware首次嘗試向不知情的使用者詐取錢財,其詐騙手法還不是非常周延。因為,歹徒的密碼其實就儲存在惡意程式其中一個元件當中,也就是它的 .DLL檔案,而且大剌剌地並未加密。

2011 年:實驗摸索的階段

時間繼續向前快轉五年,我們發現勒索軟體 Ransomware已有重大進展,至少在贖金的付款方式上已經可以接受行動支付機制。2011 年發現的 TROJ_RANSOM.QOWA 專門鎖定俄羅斯的使用者。此變種一改挾持檔案勒贖的作法,直接將使用者的桌上型電腦鎖住,並在螢幕上顯示一個要求支付 360 俄幣 (在當時約為 12 美元) 贖金的畫面。受害者必須撥打一個付費電話號碼並同意支付費用才能取回系統的主控權。

儘管這還不像後來發展出來的檔案加密怪獸,也不像那些要求龐大贖金的變種,但歹徒已經達到目的。雖然贖金只有區區 12  美元,但這項攻擊行動在短短五週之內就獲利至少 30,000 美元,至少有 2,500 人受害。據統計,此惡意程式光在一個月前就從某個色情網站被下載了 137,000 次以上,絕大部分都是俄羅斯使用者。

金額不高,再加上付款方便,使得這項詐騙對受害者來說並不會造成太大麻煩。您會不會支付 12 美元來贖回自己的電腦?這在今日大概只不過是三杯拿鐵的價格而已,遠少於其他勒索軟體 Ransomware所要求的金額,因此受害者也就乾脆付款。

上述數據證明了勒索軟體 Ransomware的獲利潛力,很顯然地,誘騙使用者下載一個能夠鎖住其檔案或電腦以勒索贖金的惡意程式,可收到非常好的效果。這同時也證明了有效散布管道的價值。毫不諱言,這個案例證明了色情就是能夠吸引許多俄羅斯使用者上勾並自願下載惡意程式。

2012 年:青春期血氣方剛的恐嚇技倆

Continue reading “勒索軟體:恐嚇取財手法十年進化史”

巨集惡意程式:老技倆依舊有效

巨集病毒曾經是最熱門的話題, 它主要是利用軟體本身所提供的巨集能力來設計病毒, 所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能, 如Word, Excel,都相繼傳出巨集病毒危害的事件, 在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

 

1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:
1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:

台灣本土文件巨集病毒,當時國中生寫的台灣猜拳病毒

 

自稱來自某國中的愛國少年,寫的釣魚台病毒
自稱來自某國中的愛國少年,寫的釣魚台病毒

 

現在,我們該好好重溫一下 Microsoft Word 下面這個安全性警告訊息為何重要:


1:Microsoft Word 巨集安全性警告

今天下午,我在同事之間詢問了一下這個問題:「你能不能馬上想到任何一個有效的巨集惡意程式?若是透過電子郵件散布就更好。」我得到的第一個答案是1999年3月26日,導致全球大企業的 Email Server大當機的「Melissa」,但另一位較資深的同事則說1995年的第一隻文件巨集病毒「WM Concept」和 1996年的Excel巨集病毒「LAROUX」。接著我又問其他同事能不能舉出 2005 – 2008 年左右的熱門巨集惡意程式,結果大家開始聊起 2000 年代巨集病毒瘋狂的年代,也想起當年 Microsoft Office 將預設安全性改成高安全性之後對惡意程式情勢有多大改變,以及現在將如何歷史重演。

信件 網路釣魚Mail

「舊瓶裝新酒」

我們在一年前就開始發現巨集惡意程式重返的跡象,當時看到的是 W97M_SHELLHIDE.A 和 TSPY_ZBOT.DOCM 的合體。一開始,我們以為只是偶然的案例,但根據趨勢科技有關 BARTALEX 的最新報告指出, DRIDEXROVNIX 及 VAWTRAK 等惡意程式也再度利用巨集來散布惡意程式,並且從 2014 下半年延續至今年。

不但如此,趨勢科技也注意到巨集惡意程式這次重現江湖的目標非常明確,那就是:企業機構。而且企業也因遭受一波垃圾郵件散布的巨集惡意程式攻擊而嚴重受創。 Continue reading “巨集惡意程式:老技倆依舊有效”