《資安新聞周報》台灣遭勒索病毒攻擊次數居全球排名18/Mirai 殭屍病毒成為鎂光燈焦點之後…./中了這隻勒索病毒,付再多錢也救不回檔案!

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安高風險國家 台灣上榜  華視新聞網

趨勢科技 2016 年資訊安全總評報告出爐,勒索病毒家族數量飆升7倍!台灣受勒索病毒的攻擊次數排名全球前20%!    T客邦

 

 

 

趨勢科技與 NEC、Netcracker 攜手合作提供整合式虛擬網路防護解決方案  網管人

14 億個身分洩漏曝光,一個垃圾郵件帝國的覆滅  科技新報網

Freedom Hosting II遭駭後,暗網服務大幅縮水85%   iThome

WD多款NAS產品遭爆有85個漏洞,全都無修補程式   iThome

美眾議員提案讓網路攻擊受害者能合法反擊駭客    iThome

專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為… 資安趨勢部落格

俄駭客入侵美多個政團 勒索封口費  聯合新聞網

川普控歐巴馬竊聽 FBI局長駁斥打臉        台灣蘋果日報

承認了 美副總統任州長時用私人電郵辦公      今日新聞網

Apache Struts2再度爆發高風險漏洞,HITCON Zeroday通報:已有臺灣金融業者受駭       iThome

【軍紀鬆弛】社群瘋傳女同袍裸照 美國陸戰隊撤查      上報

UBER 被發現可以讓乘客搭霸王車的漏洞,發現者將獲得 5000 美元的獎金  電腦王阿達

勒索0.05比特幣 花蓮偏鄉國中嚇一跳     聯合新聞網

印表機,心臟輔助裝置, 咖啡機 可在未經授權下存取連網設備 資安趨勢

國家安全會議諮詢委員李德財要從國安高度推資安3箭,保護臺灣數位國土        iThome

下單防駭 證交所出招 出具「因應DDOS攻擊之防護及應變處置建議」,並擬加強資安規範   工商時報

物聯網加溫 DDoS戰火熾    網管人

Aruba研究:全球醫療機構三年內全面實現物聯網   每日頭條

車聯網真的就在眼前了嗎?        電子工程專輯

保護帳戶安全自己來 Google兩階段驗證改版輕鬆用      中時電子報網

【注意片】網路血拚竟藏魔鬼陷阱 這4個字超重要      台灣蘋果日報網

8個旅遊資安清單 旅行時要小心       中央社即時新聞網

趨勢科技啟動徵才及暑期實習計劃 培育世界級搶手人才      台灣蘋果日報網

 

 

資安高風險國家 台灣上榜  華視新聞網

全球的資安高風險國家台灣也在榜上!資安業者統計,受病毒的攻擊次數,全球排行榜中台灣排名第18名,屬於資安高風險國家,亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國,在亞洲排名第7。

<回到新聞條列重點>

趨勢科技 2016 年資訊安全總評報告出爐,勒索病毒家族數量飆升7倍!台灣受勒索病毒的攻擊次數排名全球前20%!    T客邦

全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)日前發布年度資訊安全總評報告「2016 年資訊安全總評:企業威脅刷新紀錄的一年」,報告顯示2016 年網路威脅屢創新高,勒索病毒和變臉詐騙(Business Email Compromise,簡稱 BEC)越來越受網路犯罪集團青睞,成為歹徒勒索企業的利器。

<回到新聞條列重點>

趨勢科技與 NEC、Netcracker 攜手合作提供整合式虛擬網路防護解決方案  網管人

全球網路資安解決方案領導廠商趨勢科技 宣布與長期通路經銷夥伴 NEC Corporation 及 NEC 旗下軟體定義網路 (SDN)、網路功能虛擬化 (NFV) 解決方案暨商業/營運支援系統 (BSS/OSS) 廠商 Netcracker Technology 攜手合作,將 NEC 與 Netcracker 的網路管理及協調功能與趨勢科技的 Virtual Network Function Suite 整合,為電信級 NFV 部署環境帶來一套有效、高效能的完整虛擬化網路防護解決方案。

<回到新聞條列重點>

 

14 億個身分洩漏曝光,一個垃圾郵件帝國的覆滅  科技新報網

著名的「資料洩漏獵人」Chris Vickery 在 Twitter 上說自己將在美國當地時間 3 月 6 日(台北時間 3 月 7 日)公布一起「14 億個身分洩漏大案。」

據了解,由於 Vickery 之前發現不少漏洞,其中甚至包括涉及美國軍方和川普競選團隊的 AWS 伺服器資料洩漏,因此他的「信譽」很好。在還沒正式公布結果前,外界猜測和分析就已鋪天蓋地。

<回到新聞條列重點>

Freedom Hosting II遭駭後,暗網服務大幅縮水85%   iThome

專門追蹤暗網活動的OnionScan本周指出,在暗網服務供應商Freedom Hosting II於今年2月被關閉後,他們發現仍在活動的暗網服務只剩4400個,相較於Intelliagg與Darksum在去年2月所統計的29,532個,大幅縮水了85%。

<回到新聞條列重點>

WD多款NAS產品遭爆有85個漏洞,全都無修補程式   iThome

自稱Zenofex的安全研究人員公開了WD旗下NAS產品存在高達85個安全漏洞,影響WD旗下12款NAS產品,最嚴重者可讓駭客繞過認證機制,在NAS上執行程式,或存取儲存的資料。

<回到新聞條列重點>

美眾議員提案讓網路攻擊受害者能合法反擊駭客    iThome

美國眾議員Tom Graves上周提出了主動網路防禦明確法案(Active Cyber Defense Certainty Act,ACDC),該法將允許網路犯罪行動的受害者化被動為主動,在受到攻擊能夠反擊。

<回到新聞條列重點>

俄駭客入侵美多個政團 勒索封口費  聯合新聞網

俄羅斯駭客肆虐美國政治圈電腦網絡又添增新篇章。彭博社6日引述熟悉調查內情的兩位匿名消息人士說,總統大選以來,俄羅斯駭客鎖定美國自由派團體,搜尋其電子郵件,找出見不得人的細節,然後勒索「封口費」。

<回到新聞條列重點>

川普控歐巴馬竊聽 FBI局長駁斥打臉        台灣蘋果日報

美國調查俄羅斯介入大選疑雲變調為竊聽門,總統川普嚴詞指控前總統歐巴馬曾竊聽其電話,引發軒然大波,國會前天表示將依白宮要求進行調查。聯邦調查局(FBI)局長康梅不滿這等同指控FBI違法,已要求司法部駁斥。歐巴馬任內的情報高層前天出面鄭重否認有此事,並抨擊川普混淆視聽。

<回到新聞條列重點>

承認了 美副總統任州長時用私人電郵辦公      今日新聞網

根據印第安納波利斯明星報(The Indianapolis Star)報導,彭斯(Mike Pence)在擔任印第安納州州長時,曾使用私人電郵與多位官員交換意見,甚至談論敏感議題如美國國土安全、恐怖分子的威脅等,彭斯的電郵帳戶在去年夏天被駭客入侵。

<回到新聞條列重點>

Apache Struts2再度爆發高風險漏洞,HITCON Zeroday通報:已有臺灣金融業者受駭       iThome

使用Struts 2.3.5 、Struts 2.3.31、Struts 2.5~Struts 2.5.10等網站框架的伺服器,都受到駭客可以直接進行遠端執行程式的S2-045漏洞編號影響,可以導致網站資料外洩、被植入木馬程式等風險。

<回到新聞條列重點>

【軍紀鬆弛】社群瘋傳女同袍裸照 美國陸戰隊撤查      上報

在美國海外大小戰役立下汗馬功勞的海軍陸戰隊(United States Marine Corps, USMC)傳出醜聞,1名海軍陸戰隊退伍軍人1月份在擁有逾3萬成員的臉書社團「海陸聯盟」(Marines United)中,公布了雲端硬碟的連結,裡頭全是現役或退役女性同袍的裸露照片,並鼓勵成員們踴躍投稿。

<回到新聞條列重點>

UBER 被發現可以讓乘客搭霸王車的漏洞,發現者將獲得 5000 美元的獎金  電腦王阿達

這個漏洞其實存在了一段時間,在 2016 年 8 月被發現,但這個禮拜大家才知道這個消息,不禁猜想中間某些有心人決定快樂的坐霸王車而不希望這個漏洞太早被堵起來。然而事情不是大家想的這麼簡單。

<回到新聞條列重點>

勒索0.05比特幣 花蓮偏鄉國中嚇一跳     聯合新聞網

又見「比特幣」勒索!花蓮縣偏遠的豐濱國中今天上午遭駭客入侵,要勒索0.05比特幣,學校人員上午上班發現電腦無法上網,列表機瘋狂列出勒索比特幣字樣,讓學校人員相當驚訝,立即關閉所有電腦以及列表機,目前正在查明是否有檔案外流。

<回到新聞條列重點>

【資安周報第63期】尋找臺灣資安新動能系列報導(四):國家安全會議諮詢委員李德財要從國安高度推資安3箭,保護臺灣數位國土        iThome

國家安全會議諮詢委員李德財是規畫國家資安政策背後的推手,卓越的國際學術聲望兼具理想性,希望透過資安人才培育、成立資安組織和制訂資安法規,讓臺灣的資安因應與防護可以更上層樓

<回到新聞條列重點>

下單防駭 證交所出招 出具「因應DDOS攻擊之防護及應變處置建議」,並擬加強資安規範   工商時報

證券商網路遭癱瘓事件頻傳,證交所董事長施俊吉指出,未來擬加強證券商電子下單系統方面的資安規範,尤其網路攻擊方式非常多種,必須設想可能發生情形,以及如何強化緊急應變措施,絕對不會鬆懈。

<回到新聞條列重點>

物聯網加溫 DDoS戰火熾    網管人

二月初台灣爆發13家證券業者分別遭到國外駭客威脅以分散式阻斷服務(DDoS)攻擊並勒索贖金,震驚全國,所幸最後各界合作聯防順利化解,但DDoS攻擊顯然已成為足以影響金融秩序甚至國安層級的網路安全議題。面對即將到來的物聯網時代,多數人關注未來的商機產值、市場應用,卻忽略設備一旦連網,可能遭受惡意程式感染、控制,成為殭屍網路成員,被利用來對外發動DDoS攻擊。

<回到新聞條列重點>

Aruba研究:全球醫療機構三年內全面實現物聯網   每日頭條

IoT(Internet of Things)技術的發展正在改變這個世界現有的格局,企業、政府和消費者之間的互動關係也迎來了新的機遇與挑戰。Business Insider Intelligence針對物聯網的最新報告顯示,未來五年中,全球範圍內的公司將花費近五萬億美元在IoT上,而隨著IoT的廣泛使用和數據的大規模增長,人類也即將迎來一場全新的數據分析革命。

<回到新聞條列重點>

車聯網真的就在眼前了嗎?        電子工程專輯

2015年底,美國運輸部(DOT)發佈的消息提到,5年後美國所有的新車都將強制配備防止碰撞的車聯網(Internet of Vehicles,IoV)裝置,也就是車對車(vehicle-to-vehicle,V2V)系統的法規制定計畫。該部會的官員並表示,車聯網的目的是為了要提供行駛於兩線道的駕駛在超越卡車等危險情境前預警,預期將能避免或減輕80%的非駕駛責失撞車意外。

<回到新聞條列重點>

保護帳戶安全自己來 Google兩階段驗證改版輕鬆用      中時電子報網

為了進一步提升用戶帳號的安全性,Google早在多年以前就導入了兩階段驗証(2-Step Verification)功能,並提供了簡訊驗証碼、Authenticator、備用碼等多重方式供用戶選擇。近期,Google再度優化這項服務,簡化了輸入簡訊驗証碼的程序,讓你輕鬆一「點」就可以完成兩階段驗証,提升帳戶的安全性!在雅虎(Yahoo.com)六個月內自爆三次大規模遭到駭客入侵的前提下,啟用兩階段驗証功能對你我而言絕對是刻不容緩!

<回到新聞條列重點>

【注意片】網路血拚竟藏魔鬼陷阱 這4個字超重要      台灣蘋果日報網

香港資訊科技商會榮譽會長方保僑接受香港《蘋果日報》訪問時提醒大家,在使用各種有關網上存取的程式時都應盡量開啟「二步認證」提升安全性。「二步認證其實不是近年才有的新科技,十多年前銀行已源用至今的保安編碼器便是一種。」他說到現時最普偏的二步認證就是在你輸入用戶名及密碼後,網上系統再透過簡訊或電郵發送一個確認連結或限時使用的隨機碼,三者配合下才可登入。

<回到新聞條列重點>

8個旅遊資安清單 旅行時要小心       中央社即時新聞網

出國旅遊為何登機證別亂丟?使用公共的手機充電器安全嗎?資安大廠趨勢科技整理 8個旅遊資安備忘清單,提醒消費者旅行時也要小心維護數位生活的安全。

<回到新聞條列重點>

趨勢科技啟動徵才及暑期實習計劃 培育世界級搶手人才      台灣蘋果日報網

趨勢科技校園徵才及趨勢科技2017 YOUNG 趨勢人暑期實習計劃即將開跑,由於行動化、雲端服務及無人車智慧物聯網等技術蓬勃發展,伴隨著上述新技術應用快速成長的即是資安產業。IDC預期2017年台灣資安產業成長將接近兩成,資安產業並為全球目前成長最快且未來20年的5大關鍵產業之一。

<回到新聞條列重點>

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Trump Locker 勒索病毒搭川普順風車

繼米開朗基羅,庫妮可娃之後,近年電腦病毒史上已經顯少出現以名人為名的病毒,不過,近日出現了一隻Trump Locker 勒索病毒,趕搭政治話題人物順風車。感染該病毒會出現" 你被駭了( You are hacked )"要求付贖金以還原被加密檔案的訊息。

“米開朗基羅"是文藝復興時期大師,也是病毒

以人名命名的電腦病毒,最紅的莫過於米開朗基羅(Michelangelo)了! 這位文藝復興時期傑出的雕塑家、建築師、畫家和詩人,米開朗基羅1475年3月 6日生於佛羅倫斯共和國卡普雷塞1564年在羅馬去世,時年88歲。他的風格影響了幾乎三個世紀的藝術家。(資料來源米開朗基羅—维基百科)
1991年4月現身的米開朗基羅病毒( Michelangelo)電腦病毒也以他命名:該病毒( Michelangelo)是傳統開機型病毒,當年利用軟碟開機時侵入電腦系統,然後再伺機感染其他的硬碟,該病毒在每年米開朗基羅(Michelangelo)生日-三月六日發作, 有整整一年的潛伏期。還好,以經過了 25 歲生日的米開朗基羅病毒,現在已經完全沒有影響力了 !


►延伸閱讀:米開朗基羅病毒25 歲了!

 

【離奇客訴~】就算中毒 也要看"庫妮可娃"的真面目!?

已退役的俄羅斯著名女子網球選手安娜·庫妮可娃,最高世界排名單打第8、雙打第1。 當年她是全世界最紅最具商業價值的女子體育人物,也是網球史上美女網球風潮的開創者,尤其當年她與瑞士女子網球天后辛吉斯的雙打搭檔更被譽為「網球場上的最美風景」。(來源:維基百科)

當年紅極一時的安娜庫妮可娃 (Anna Kournikova) 病毒 在2001年 2月11 日發病,已經屆滿十五歲,當年的客服人員回憶一段啼笑皆非的小故事:

「每次當我想到這個病毒,我就想到一個故事,這是有關一通來自我們使用者因系統遭該病毒感染而打來的電話。那位使用者非常生氣,但並不是因為感染而生氣,而是我們的防毒軟體移除了病毒,讓他頗為不悅。因為他還是很想看到庫妮可娃的照片。 」

很顯然地,感染的問題已經是其次,客戶生氣的原因是因為最後沒有看到想看的照片。

以下是該病毒的e-Mail訊息:

Subject line: “Here you have, :o)"
Message text: “Hi: Check this!"
Attachment: “AnnaKournikova.jpg.vbs".

….看更多

 

Trump Locker 搭川普順風車

網路上出現了一個趕搭美國當前政治情勢的新勒索病毒,不過很可能只是舊瓶裝新酒。根據研究人員表示,最近出現的 Trump Locker 勒索病毒 (趨勢科技命名為  RANSOM_VENUSLOCK.F) 與 2016 年 8 月出現的 Venus Locker 非常相似。

Trump Locker 和之前的 Venus Locker 變種 (趨勢科技命名為  RANSOM_VENUSLOCK.C) 最雷同之處就是其加密檔案的方式。兩者在面對某些副檔名的檔案時,不會將整個檔案加密,只會加密前 1024 KB 的內容。完整加密的檔案附檔名為「.TheTrumpLockerf」,但部分加密的檔案,其副檔名為「.TheTrumpLockerp」。除此之外,兩者在加密時都會避開檔案資料夾路徑當中有特定字串的檔案。

還有另一項共同點是兩者的勒索訊息除少部分修改之外幾乎完全相同,主要的差異在於駭客提供給受害者在支付贖金之後用來通知駭客的電子郵件地址。

Continue reading “Trump Locker 勒索病毒搭川普順風車"

台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅


2016 年的威脅情勢屢創新高:新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中,勒索病毒家族數量去年飆升7倍,趨勢科技統計,受勒索病毒攻擊次數全球排行榜中,台灣排名第18名,仍屬於資安高風險國家,亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國,亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元,相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評:企業威脅刷新紀錄的一年」,報告顯示2016 年網路威脅屢創新高,勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)越來越受網路犯罪集團青睞。

其中,勒索病毒造成全球企業損失金額高達 10 億美元(相當於新台幣300億元),且勒索病毒新家族數量較2015年相比成長 7 倍,顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄,網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長,而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數,也突破去年的紀錄,甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話,那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

 

  1. 新的勒索病毒家族數量成長 752%
  2. 平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
  3. 企業軟體與 SCADA 軟體的漏洞數量名列前茅
  4. Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing) 裝置

 

 

新的勒索病毒家族數量成長 752%

 

勒索病毒攻擊比以往更加難纏,新的勒索病毒家族數量在 2016 年成長了 752%,垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

Continue reading “台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅"

專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…

 

今年二月初,趨勢科技曾經提過 針對非 Windows 系統的勒索病毒將開始崛起 ,最近出現的 Patcher (趨勢科技命名為:OSX_CRYPPATCHER.A) 正是一個專挑 MacOS 作業系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)

[相關文章:專挑類 UNIX 系統的勒索病毒將帶來什麼改變]

Patcher 是 經由 bittorrent 檔案下載散布,它會偽裝成  Microsoft Office 和 Adobe Premiere Pro 等熱門軟體的修補程式。一旦下載之後,資料夾顯示的應用程式圖示上有「Patcher」字樣。

當其檔案執行時,螢幕上會出現一個假裝準備進行修補的畫面。然而 Patcher 勒索病毒一旦執行,就會開始使用隨機產生的 25 字元加密金鑰來將檔案加密。它會將「/Users」目錄以及掛載到「/Volumes」目錄下的磁碟和外接裝置當中所有檔案加密。此外,也會在使用者的系統上放置一份勒索訊息,勒索的金額為 0.25 比特幣 (約 300 美元)。 Continue reading “專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…"

勒索病毒把網友當搖錢樹? 三步驟保護自己!

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件,專門提供沒有技術能力的新手,根據自己的需求來設定勒索細節。

Locky 先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片

容易讓網友掉以輕心的駭人手法,包含:先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入惡名昭彰的勒索病毒 Locky。

提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

Bizarro Sundown 攻擊分布情況 (依國家)。

 

 

追劇竟成悲劇! Cerber 勒索病毒透過惡意廣告散播,台灣已成重災區

許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:

“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

fans-1

別讓勒索病毒當搖錢樹,三步驟保護自己!

在「勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬這文章中我們了解勒索病毒可以說讓犯罪集團賺翻了,那麼,您該如何確保自己不會成為另一棵搖錢樹?

以下是您可以做的三個步驟:

1.       備份、備份、再備份

2.       盡速修補系統漏洞

3.       建立重要的資安防護

層層的防禦不僅能提升您的防護,而且只需多花一點點投資。

第一道防護:備份、備份、再備份
有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

 勒索病毒 Ransomware (勒索軟體/綁架病毒)經常被拿來和真實世界的犯罪相比,因為這樣比較容易理解。但請記住,兩者之間存在著一項根本的差異:數位資料是可以輕易被複製的。

這使得兩種犯罪在機制上有明顯的差異。在真實世界,歹徒若挾持了某樣東西向您勒索,那表示東西已經不在您手上。當您支付贖金,歹徒可能會物歸原主,也可能拿到錢就音訊全無。

在數位世界裡,歹徒的作法則是將您的資料加密,讓您無法存取資料,直到您付錢為止…如果歹徒佛心來著。

當勒索病毒感染了某個系統時,會將系統上能找到的資料全部加密。基本上,這等於讓您無法存取資料,接著就能要脅您支付贖金。但如果您有另一份備份資料,情勢將完全改觀。

完善的備份措施是防範勒索病毒的首要步驟。有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

不要再碰運氣,或是總是說等有空再做備份,立刻將所有資料妥善備份到本地端和雲端。而且,是的,不論個人或大型企業機構都該這麼做。

一旦有了完善的備份,您就必須定期進行復原測試,因為備份資料要能復原才能發揮作用。

第二道防護:盡速修補系統漏洞,開啟自動更新,現在就做!

軟體本來就非常複雜,因此有問題是正常的,所以才會不斷有更新。這些更新通常會修補一些歹徒可能利用的系統漏洞。 Continue reading “勒索病毒把網友當搖錢樹? 三步驟保護自己!"

針對人事部的勒索病毒: GoldenEye (黃金眼) ,夾帶 PDF 或 Excel假履歷誘點擊

00_去年三月趨勢科技研究團隊發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware ),透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

該病毒會讓電腦出現藍色當機畫面,並且在電腦重新開機時,出現不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

 

上個月GoldenEye (黃金眼) 勒索病毒 Ransomware (勒索軟體/綁架病毒) (趨勢科技命名為 RANSOM_GOLDENEYE.A)發動了一波波的攻擊,尤其特別針對企業的人事部門。GoldenEye 其實是 Petya (RANSOM_PETYA) 和 Mischa (RANSOM_MISCHA) 兩個勒索病毒的合體

假冒求職信,偽裝履歷表的PDF 檔案,會覆寫系統硬碟的主要開機磁區 (MBR)

GoldenEye 如同 Petya 和 HDDCryptor 一樣,會覆寫系統硬碟的主要開機磁區 (MBR),此外也會假冒成求職信件,且信件同樣是挾帶了偽裝成履歷表的惡意 PDF 檔案與暗藏惡意巨集的 Excel 試算表 (XLS)。

圖 1:GoldenEye 假冒成履歷表的 PDF 檔案 (左) 與挾帶 XLS 檔案的垃圾郵件 (右)。

Continue reading “針對人事部的勒索病毒: GoldenEye (黃金眼) ,夾帶 PDF 或 Excel假履歷誘點擊"

資安預測: 去年勒索病毒疫發不可收拾, 2017 年成長力道將開始平緩,但更多非 PC 裝置可能成為肉票

趨勢科技在「資安攻防新層次:趨勢科技 2017 年資安預測」報告當中指出,勒索病毒的成長力道在 2017 年將開始趨緩,但攻擊手法和攻擊目標將開始朝多元化發展。讓我們來仔細看看這意味著什麼,以及這項威脅明年將如何演變。

趨勢科技的資安預測基本上是根據 IT 運算潮流的發展與威脅情勢的演變而歸納出來。勒索病毒及其幕後的犯罪集團多年來已有長足的進步,從最早的FakeAV 假防毒軟體,到專門鎖住螢幕的 Screen Locker 勒索病毒,最後發展成今日的加密勒索病毒 Ransomware (勒索軟體/綁架病毒)。這樣的演變事實上是因為歹徒希望盡可能提高整體投資報酬率與單一目標感染率。而 FakeAV 和 Screen Locker 就是無法達成這項目標,因此歹徒後來想到,如果可以挾持使用者的重要檔案或系統,不僅受害者更可能支付贖金,而且還可以提高贖金的價碼。2017 年,除了將看到更多勒索病毒家族之外,同時也將看到更多樣化的攻擊手法和攻擊對象。

►《延伸閱讀》: 資安攻防新層次:趨勢科技 2017 年資安預測」報告

2016 年勒索病毒疫發不可收拾, 150 個新勒索病毒家族,成長率高達 400%

目前,勒索病毒是全世界最大的資安威脅之一。2015 年,我們發現的勒索病毒家族僅有 29 個,但 2016 年我們已發現 150 個新的家族,成長率高達 400%。不過,我們預料這股成長力道將無法持續下去,儘管如此,2017 年仍將較 2016 年成長 25%。換句話說,我們仍需面對各種新的勒索病毒,不過歹徒將專心開發新的對象,以及更多針對企業的攻擊技巧。

2016 年我們已見到這樣的發展,例如舊金山市交通運輸局 (Municipal Transport Agency,簡稱SFMTA) 最近發生的案例,歹徒入侵了該局的自動收費機,使得營運受到影響。SFMTA 為了不影響大眾權益,決定以不收費的方式繼續維持營運。像這類針對企業機構的攻擊,2017 年將更為常見,因為企業為了維持營運,很可能會願意支付較高的贖金。一般來說,勒索病毒要求的贖金大約是 1 至 2 比特幣(Bitcoin) (約合 775 至 1550 美元),但如果對象是SFMTA 這樣的企業機構,歹徒的贖金價碼將大幅提高,約為 100 比特幣 (73,000 美元左右),這麼高的投資報酬率,正是歹徒鍥而不捨的原因。凡是營運不能稍有閃失的企業 (如:醫療、製造、公共事業等等) 都應設法將營運管理系統與內部主要網路隔離,或者在傳統的防禦之外,額外增加一些防護。

預測更多的針對性攻擊/鎖定目標攻擊(Targeted attack )利用勒索病毒; 更多非 PC 裝置可能成為肉票

另一項有關勒索病毒的預測是歹徒的攻擊手法將多元化。我們將看到更多的針對性攻擊/鎖定目標攻擊(Targeted attack )開始在受害者電腦上植入勒索病毒,因為這樣不僅可竊取受害者的資料拿到地下市場販售,更可挾持這些資料來勒索贖金 (如果你支付 $XX 贖金,我就不將這些資料公開)。除此之外,我們也將看到一些非 PC 裝置,如:物聯網 IoT ,Internet of Thing裝置、PoS 銷售櫃台系統,甚至銀行 ATM 提款機,都將成為勒索病毒的攻擊目標,如同近幾年來專門攻擊 Android 裝置的行動勒索病毒一樣。發掘更多的攻擊面,一向是歹徒擴大感染率和獲利的策略之一。 Continue reading “資安預測: 去年勒索病毒疫發不可收拾, 2017 年成長力道將開始平緩,但更多非 PC 裝置可能成為肉票"

如何偵測和阻止《躲進口袋的壞東西》:行動裝置勒索病毒?

上一篇的文章:《行動裝置勒索病毒》躲進口袋的壞東西,Android勒索病毒數量增加了140%中,我們探討了惡意軟體如何鎖住設備以及如何說服受害者付錢的恐嚇手法。現在知道了壞人能夠做什麼,接下來要討論的是資安廠商用來阻止它們的偵測和解決技術。我們希望透過與其他研究人員的技術分享來提升業界解決行動勒索病毒的整體知識。

 

偵測和解決

檢視行動勒索病毒 Ransomware (勒索軟體/綁架病毒)的技術特性讓我們得以設計和做出正確的偵測和解決技術。有許多種方法可以處理這問題:我們的想法是這些惡意特性必須得出現在應用程式的程式碼中。我們利用靜態分析加上解決特殊狀況(例如透過映射進行混淆)的一些技巧。

 

圖1、各種找出行動勒索病毒的方法

Continue reading “如何偵測和阻止《躲進口袋的壞東西》:行動裝置勒索病毒?"

《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%

Mobile 手機 駭客 在幾個星期前,筆者在2016年的歐洲黑帽大會上談論了躲進口袋的壞東西:為什麼勒索病毒造成貓捉老鼠遊戲內的曲折劇情。當回顧2015年4月到2016年4月的行動勒索病毒 Ransomware (勒索軟體/綁架病毒)時,趨勢科技注意到了Android勒索病毒數量的大幅上升。在這一年時間內,Android勒索病毒數量增加了140%。某些地方的行動勒索病毒甚至佔行動惡意軟體總數的22%!(這些數字來自趨勢科技的行動應用程式信譽評比服務)。在這期間所注意到的一個趨勢是它跟傳統勒索病毒走勢有密切相關:跟其他勒索病毒一樣,行動勒索病毒也在不斷地發展和成長。

這項研究從筆者在Politecnico di Milano(POLIMI)時就開始,趨勢科技的行動研究團隊為這項研究做出巨大的貢獻。本文將討論行動勒索病毒所使用的技術及協助解決這些問題的偵測技術。

為什麼行動勒索病毒會得逞?上鎖和恐懼

根據趨勢科技的分析,鎖住螢幕和恐嚇受害者必須付錢,以重新啟用設備,是行動勒索病毒得逞的必備伎倆。

鎖住螢幕

SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備,總結如下基於KeyEvent.Callback API呼叫:

  • 綁定onKeyDown()和onBackPressed()函式回調,
  • 只要受害者按下實體按鈕就會觸發回調,
  • 根據API,透過傳回「true」值給連鎖內的下一個回調(代表「不傳播,事件已經被處理」),應用程式有效地防止當前的活動被移到背景處理。

 

圖1、Android套件索引列表內onKeyDown()函式的說明

Continue reading “《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%"

企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

 圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。
圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。

 

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWareRANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CADRansom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

圖2、夾帶Cerber的垃圾郵件樣本
圖2、夾帶Cerber的垃圾郵件樣本

Continue reading “企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?"