WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

 WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊,除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本,但根據我們持續不斷的分析發現,這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族,只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010,代號 EternalBlue,由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布,同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同?首先,它是所謂的無檔案型態病毒,UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件,因此不會留下什麼痕跡,所以更難偵測。

此外,UIWIX 的行為更加謹慎,只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在,就會自行終止。根據 UIWIX 程式內的字串顯示,它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點: Continue reading “WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來”

WannaCry/ WCRY “想哭”勒索病毒漏洞檢查工具

WannaCry(想哭)勒索病毒/勒索蠕蟲 以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,短時間內全球大量擴散爆發災情,大量未更新和已終止支援的 Windows 作業系統使得 WannaCry 可以得逞,WannaCry 哭聲尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來,趨勢科技提供漏洞檢查工具,此工具會幫消費者在windows電腦上執行以下兩項工作:

1. 檢查電腦上是否存在MS17-010的漏洞

2. 檢查電腦上的SMB v1是否關閉,如為開啟,亦可協助用戶停用SMB v1(SHA-256: 6f8e6dd35155f68f0c20acf214e2d3523bde25cb65ed922832d76542107bad24)

 

 

工具下載點擊後,詳細執行畫面如下:

步驟一:請點擊”是“,開始執行檢查

步驟二:點選是之後,工具會開始執行。

若電腦已更新會出現以下訊息: Continue reading “WannaCry/ WCRY “想哭”勒索病毒漏洞檢查工具”

勒索病毒WannaCry 敲響的警鐘:經由資料外洩來賺黑心錢的模式已不流行

傳統經由資料外洩來賺黑心錢的模式已不流行,勒索病毒 WannaCry以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統,在短短 48 小時內就已喚醒了大家的意識,是時後面對日益壯大的網路犯罪地下市場及網路犯罪分子了….

 

勒索病毒WannaCry 與美國行政命令

 

作者:Ed Cabrera (趨勢科技網路安全長)

上週,美國白宮發表了一份行政命令,標題為「強化聯邦網路與重大基礎建設的網路資安」(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)。諷刺的是,同一週,全球遭到了有史以來最大規模的單一勒索病毒攻擊(WannaCry(想哭)勒索病毒/勒索蠕蟲),據估計,全球已有 150 多國 20 多萬名受害者。本文的用意在於提醒大家注意星期五的行政命令,因為其中有一些不錯的規定,也順便點出其中不足之處,尤其是面對日益壯大的網路犯罪地下市場及網路犯罪分子。相信關於這一點,此次攻擊在短短 48 小時內就已喚醒了大家的意識,而且效果遠超過上千篇的部落格文章。

正當 Pawn Storm 的網路間諜與網路宣傳活動引起眾議之際,一波新的勒索病毒攻擊讓大家真正見識到當前全球最大的網路安全威脅,也就是:跨國網路犯罪。傳統經由資料外洩來賺黑心錢的模式已不流行,現在,網路勒索更有賺頭。勒索病毒攻擊基本上就是「快又狠」。網路犯罪集團幾小時或幾天之內就能海撈一票。這波攻擊利用了一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統仍在使用當中。儘管資安產業大多專注在感染症狀、漏洞管理的重要性、良好的網路使用習慣,以及國家級的駭客攻擊等等,但真正迫切的毒瘤是全球虛擬與實體犯罪天堂數量龐大的跨國網路犯罪人口。

看看美國的這份行政命令,再對照此次的攻擊,其有些規定確實能幫助聯邦政府適當評估其部門和機構的網路攻擊風險。而更重要的是,管理這些風險的責任和預算將交由部長級與局長級的人員來負責。在聯邦政府資安長 (CISO) 們的努力下,聯邦政府的資安情況已經獲得改善,但這項轉變若要持續下去,他們就必須獲得所需的資源。所以問題是:聯邦政府的資安長們 (或權責單位) 是否將掌握充分的資源來面對不斷變化的威脅情勢。這又回到我對這份行政命令的最大質疑:該命令只是治標而不治本。它並未充分發揮團隊合作的力量。俄羅斯地下市場的網路犯罪分子在這波攻擊當中展現了相當程度彼此信賴。過去 17 年來,他們創造了一個讓各技術層次的網路犯罪分子都能共同策劃、發動攻擊並共享利潤的機制,其受害者遍及各國的公家機關和民間企業。反觀我們,目前就連達成自我防衛的最基本互信都還做不到。

不過好消息是,經過了這次的事件,事情開始有所轉變,全球各地的資訊分享分析中心 (Information Sharing Analysis Center,簡稱 ISAC) 與資訊分享分析機構 (Information Sharing Analysis Organization,簡稱 ISAO) 以及其會員和資安產業合作夥伴們,一直不眠不休地提供一些可採取行動的情報。我要特別恭喜 HITRUST 成功地將訊息傳達給美國的醫療機構來協助發掘並分享一些偵測指標與災情評估。此次的合作讓我們不僅能保護我們自己的客戶,更對整體產業的防禦能力帶來正面影響。

在我們建立一套全面的機制來解決跨國網路犯罪問題、讓歹徒無法來去自如、無利可圖之前,同樣的情況還會繼續發生。目前我們可以做的就是:繼續保持合作,透過一次一次像這樣的事件來建立彼此的信任,最終就能提升我們全體的防禦能力。

[編輯備註:如需最新的 WannaCry 資訊與相關的趨勢科技產品訊息,請參閱。] 

 

 

面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?

WannaCry 勒索病毒竟有個「關閉開關」,可讓該病毒就算已經進入電腦也不會執行?!

IT 系統管理員針對三種不同情況該採取什麼步驟:

o  電腦處於睡眠模式

o  電腦已被「喚醒」

o  惡意檔案或元件已進入系統當中

WannaCry(想哭)勒索病毒/勒索蠕蟲 的疫情或許哀鴻遍野,但仍有一絲曙光:勒索病毒當中有一個「關閉開關」可讓該病毒就算已經進入電腦也不會執行。

若上週末 WannaCry 病毒肆虐時,您的電腦正處於睡眠狀態,那麼您的電腦有很大的機會可以躲過 WannaCry 這次的災情。但萬一您的電腦已經醒來呢?簡單來說,您還是有機會避免勒索病毒加密您的檔案。其實,這是 IT 系統管理員和資安人員修補、更新系統的大好機會,既能防止 WannaCry,又能防範未來可能出現的類似威脅。

您可採取以下步驟來檢查您的系統和網路是否在週末期間遭到該病毒攻擊。

[延伸閱讀: 趨勢科技最新的 WannaCry 防護更新]

原本處於睡眠狀態的電腦不會被感染,因此立刻修補漏洞就能防範。

根據趨勢科技的模擬分析,WannaCry 勒索病毒無法攻擊正處於睡眠狀態的電腦,就算其 TCP 連接埠 445 已開放且系統漏洞仍未修補也不會有事。

WannaCry 勒索病毒在感染及散布過程當中必須連上其攻擊的電腦。因此,如果電腦正處於睡眠狀態,病毒就無法連上電腦。此時,病毒會繼續嘗試下一個 IP 位址,看看能不能連上其他電腦。

換句話說,IT 系統管理員可趁機趕快修補 WannaCry 所攻擊的漏洞,就能盡量遏止感染。

[資安部落格文章: WannaCry/Wcry 勒索病毒技術層面分析]

當電腦「醒來」的時候會發生什麼事?

Continue reading “面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?”

PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!

史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!由於該病毒會掃瞄區域網路 (LAN) 和網際網路上的電腦是否開放 TCP 445 連接埠,然後再利用系統漏洞將自己植入電腦中執行,散播相當快速。

相關報導:

WannaCry”想哭”勒索病毒的勒贖訊息,帶著嘲諷意味說:「 對半年以上沒錢付款的窮人,會有活動免費恢復,能否輪到你,就要看你運氣怎麼樣了…. 」不想在你上網正開心時,電腦跳出這個勒索訊息,才發現檔案被鎖了,現在就讓 趨勢科技 PC-cillin 2017 雲端版協助您立刻啟動防禦 !

 WannaCry"想哭"勒索病毒的勒贖訊息還嘲諷說:「 對半年以上沒錢付款的窮人,會有活動免費恢復,能否輪到你,就要看你運氣怎麼樣了.... 」

 

 

以下為勒索病毒 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:

 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:
WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:

PC-cillin 2017雲端版最新病毒碼成功移除WannaCry (想哭) 勒索病毒

PC-cillin 2017雲端版最新病毒碼成功移除WannaCry (想哭) 勒索病毒
PC-cillin 2017雲端版最新病毒碼成功移除WannaCry (想哭) 勒索病毒

Continue reading “PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!”

為什麼網路詐騙集團,偏好你的個人資料更勝於信用卡?

在面對網路犯罪的無止盡戰爭中,有一半以上的關鍵在於提高大眾對威脅本質的認識。如果電腦使用者能夠更加關心自己在網路上所面對的安全和隱私問題,就更有可能採取行動來降低風險。但總會出現更多需要學習的地方,這是面對像網路犯罪這樣快速發展行業時所會遇到的問題。

比方說,你知道駭客更可能看上你的個人資料(如電子郵件地址、身分證號碼)而不是財務資料嗎?所以隨時保護好這些資料安全是相當重要的事情。

地下網路犯罪市場,偏好沒有使用期限的搖錢樹,比如身分證件

趨勢科技研究發現,近三分之二(65%)的電腦感染了惡意軟體。許多人認為這些惡意軟體是為了要竊取財務資料, 的確有電腦病毒被設計來專偷信用卡和銀行帳號等資料 ,但網路詐騙集團發現竊取來財物資料,可當搖錢樹的有效期限很短。因為一旦受害者發現蛛絲發跡,他們就會打電話給銀行/信用卡組織的詐騙部門,讓駭客/詐騙分子試圖賺錢的行動被阻止。

但另一方面,如果同一個駭客花時間找出並取得可以證明出生日期的證件等個人資料,就可以建立起你全面的「數位身份」。這些在暗網(dark web)上會更有價值,因為這些資料對受害者來說很難變更,沒有辦法可以改變你的出生日期,因此就更有機會可以從身份詐騙中賺錢。

加入了從地下網路犯罪市場所購買的各種個人資料,詐騙分子可以用你的名義申請信用卡和貸款,提交假報稅單據來退稅,甚至是申請醫療保險,就如同趨勢科技所報告的那樣。毫無疑問的,這裡需要一個非常進步和專業的網路犯罪黑市,讓駭客可以竊取你的資料後賣給詐騙分子用來進行身份詐騙。

這也是為什麼我們所採訪過的家庭有三分之一(36%)聲稱自己遭受網路攻擊並造成個人檔案損失。

 

有四分之一(24%)的人失去珍貴的照片後,才知道勒索病毒是怎麼回事

 同樣的,勒索病毒 Ransomware (勒索軟體/綁架病毒)已經變成網路犯罪分子用來從受害者身上快速非法獲利的熱門技術。如果你不幸下載到這惡意軟體,它會搜尋你的個人檔案並進行加密。這代表你永遠無法打開自己的文件和檔案,除非你支付贖金 – 通常是幾百美元。有估計指出勒索病毒去的不法獲利超過10億美元。 Continue reading “為什麼網路詐騙集團,偏好你的個人資料更勝於信用卡?”

五個常見的家庭網路威脅

對於一般的使用者來說,要保護好電腦幾乎可以說是不可能的任務。光是要搞清楚得注意什麼可能就是個大挑戰。什麼樣的威脅對一般的使用者來說很重要,又該如何避免?

1.勒索病毒: 遇到「Drive by download路過式下載,瀏覽惡意網頁就會中毒

勒索病毒 Ransomware (勒索軟體/綁架病毒)目前對普通的使用者來說是最大的威脅。這種惡意軟體會加密使用者的資料,並威脅受駭者,除非付出相當於數百美元的比特幣(Bitcoin)贖金,不然就會永久鎖住或刪除檔案。

有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 !

Cerber 病毒並沒有銷聲匿跡,近日有許多網友在臉書上求救的幾乎都是 Cerber,一堆”覺得悲傷”哭哭的表情符號”疫”發不可收拾。

還有網友自我解嘲說:

“我發誓! 我真的只有看《師任堂》,難道是李英愛傳染給我的?”

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁就會中毒。

另外,駭客也可能將夾帶勒索病毒的壓縮檔放在非官方的影片下載網站上,除了養成平時備份檔案的習慣,使用防毒軟體 可以未雨綢繆,避免檔案成肉票。

Continue reading “五個常見的家庭網路威脅”

預防勒索病毒,五大絕招! 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!趨勢科技教你拒當資安人質!

趨勢科技提供企業及個人防禦機制與免費風險評估工具

利用週末期間橫掃全球的勒索蠕蟲「WannaCry/Wcry」,是第一隻結合蠕蟲擴散行為大規模擴散、遂勒索之利的勒索蠕蟲,目前於各地都有傳出嚴重受害案例,為了守護大家的資料安全,讓台灣民眾上班上學日都能順利步入正軌,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)在此提供防禦機制與免費風險評估工具!趨勢科技於今年四月中首次監測到勒索病毒(RANSOM_WCRY.C),最初它透過網路釣魚攻擊誘使使用者從Dropbox網址下載惡意程式;而在5月 13 日週末,趨勢科技發現這個肆虐全球的勒索病毒 Ransomware (勒索軟體/綁架病毒)

台灣有網友分享,當他前往停車場取車繳費時螢幕顯示卻「想哭」病毒勒索的畫面,無法繳費,車子也出不去,只好求助停車場業者開啟閘門脫困。

 

「WannaCry/Wcry」已進化為結合了Windows Server Message Block (SMB) 伺服器漏洞EternalBlue(亦被稱為CVE-2017-0144和 MS17-10)與新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新變種。

這波勒索病毒大規模攻擊所用的漏洞 EternalBlue 是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一,攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行,接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒索通知的檔案);被針對的副檔名共有176種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。

【圖說】「WannaCry/Wcry」勒索病毒感染途徑

 

趨勢科技提出五大防護措施建議與免費檢測工具

趨勢科技提醒這個漏洞在今年三月份就已經被微軟所修補,呼籲無論是企業還是個人都應盡快更新系統以修補此安全性弱點,所以強烈建議民眾為作業系統安裝最新的修補程式,尤其是跟安全性弱點 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 SMB,正確配置SMB服務才能免於受到此次攻擊影響,最後建議可以根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點,如趨勢科技企業客戶可使用最新版本的OfficeScan™WorryFree Business Security ,並請確保已啟用「預測性機器學習」功能(OfficeScan XG 版本、Worry-Free Services)以及所有與勒索病毒相關的防護功能,而一般消費者則可以升級安裝已經可以防禦該勒索病毒攻擊的 PC-cillin 2017 雲端版

另一方面,除了OfficeScan™ 、WorryFree Business Security及PC-cillin 2017用戶之外,趨勢科技現也提供大眾採用最新機器學習技術的免費風檢評估工具,企業可申請使用「TrendMicro™ Machine Learning Assessment Tool」,並趨勢科技也提供「i3C-您隨身的3C好麻吉」App,協助民眾透過Android手機與平板,經由wifi 連線檢查家中使用windows平台的連網裝置是否有受到勒索病毒侵犯的風險;而面臨勒索病毒還在全球範圍持續擴散的威脅,趨勢科技也建議台灣各個使用者,立即執行以下操作以防止勒索病毒攻擊! Continue reading “預防勒索病毒,五大絕招! 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!趨勢科技教你拒當資安人質!”

預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)

WannaCry 勒索病毒/勒索蠕蟲在全球範圍持續擴散,為避免週成為受災戶,以下提供企業員工與一般用戶的注意事項,建議您立即執行以下操作避免病毒攻擊!

  1. 立即使用隨身碟、外接硬碟或者雲端空間,備份您的重要資料。
  2. 關閉Windows系統的445通訊埠,關閉網路共用資料夾(詳細步驟如下文)。
  3. 不要點擊來路不明的網站和檔案等。
  4. 修補相關漏洞。微軟 EternalBlue 安全性修補程式的安裝可點此。而 Windows XP、Windows 8等系統的使用者,可以點擊這裡下載安裝修補程式
  5. 開啟電腦作業系統的Windows Update,隨時升級系統與修補漏洞。

另外請務必注意:如果您的電腦遭攻擊,建議千萬不要乖乖繳納贖金,因為這會助長犯罪,且不保證檔案可以取得回來。

以下為關閉445通訊埠之參考步驟:

1、從控制台中選擇「Windows 防火牆」,並點選左方「進階設定」: Continue reading “預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)”

【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球,包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示,台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務(NHS)遭到攻擊,許多醫院手術被迫取消,西班牙的電信公司、電力公司及公用事業的天然氣公司,都受到影響。葡萄牙的電信公司、聯邦快遞(FedEx)等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後,畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險:CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞,已經在三月份修復,還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起,造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元;此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外,其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

 

[相關閱讀:使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

 

近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!

 

感染途徑

這波攻擊所用的漏洞(代號EternalBlue)是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒贖通知的檔案)。被針對的副檔名共有166種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
Continue reading “【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法”