勒索病毒/勒索軟體 - 資安趨勢部落格

Dharma勒索病毒利用防毒工具掩飾惡意活動

2019 年 05 月 24 日2019 年 05 月 21 日趨勢科技 TrendMicro

Dharma勒索病毒從2016年就開始出現，持續地攻擊了全世界的使用者和組織。在2018年11月的一次高調攻擊中，勒索病毒感染一家德州醫院並加密了許多病歷。幸運的是，醫院不用透過支付贖金就能夠回復正常。趨勢科技最近發現一隻新的Dharma勒索病毒使用了新的手法：利用軟體安裝作為幌子來掩飾其惡意活動。

Dharma勒索病毒利用防毒工具

新的Dharma勒索病毒仍是透過典型的垃圾郵件散播，誘騙使用者去下載檔案。如果使用者點入下載連結，會在取得檔案前被要求輸入郵件內所提供的密碼。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-Ransomware-01.jpg

圖1. Dharma勒索病毒感染鏈

接著會下載一個自解壓縮檔 – Defender.exe，它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式（被重新命名為Defender_nt32_enu.exe）。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案（偵測為RANSOM.WIN32.DHARMA.THDAAAI）

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma2-2.png

圖2. Dharma勒索病毒的垃圾郵件

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-3-2.png

圖3. 執行自解壓縮檔（Defender.exe）

勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時，Dharma會在背景加密檔案，同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-4-2.jpg

圖4. 軟體安裝過程掩飾了勒索病毒活動

繼續閱讀

勒索病毒襲擊美政府辦公室，迫使氣象頻道斷線

2019 年 05 月 01 日2019 年 04 月 30 日趨勢科技 TrendMicro

勒索病毒Ransomware (勒索軟體/綁架病毒)似乎不再猖獗，也不像以往那樣主導整個威脅現況，但根據 LockerGoga 指出，有一間位在挪威的製造工廠遭勒索病毒入侵，造成的破壞性衝擊證明其仍是一項重大的威脅。事實上，勒索病毒仍持續發威中，最新的一連串攻擊在全美許多的郡和市政府都造成了傷害。

四月底美國氣象頻道（Weather Channel）遭到勒索軟體攻擊，導致其直播暫停了一個多小時。FBI發言人證實，這是一起勒索病毒攻擊案件。

繼續閱讀

趨勢科技MDR(託管式偵測及回應服務)發現Emotet散播的Nozelesn勒索病毒載入程式

2019 年 04 月 29 日2019 年 04 月 08 日趨勢科技 TrendMicro

透過趨勢科技的託管式偵測及回應(Managed Detection and Response，簡稱MDR) 監控，我們發現了模組化的Emotet惡意軟體在散播Nymaim惡意軟體，後者接著會載入Nozelesn勒索病毒。我們2019年2月在一間飯店的監控端點上偵測到了這隻Emotet變種。為了近一步調查，我們取得了580個類似的Emotet附件檔，並收集從2019年1月9日到2019年2月7日間的資料。

威脅調查

在2月11日，我們開始調查在MDR監控端點所看到的一起Emotet偵測事件。為了便於分析，我們將此端點稱為EP01。在初步調查時我們注意到下列可疑檔案：

繼續閱讀

擁有管理員權限的帳號被用來透過PsExec安裝BitPaymer勒索病毒

2019 年 04 月 23 日2019 年 05 月 17 日趨勢科技 TrendMicro

勒索病毒可能在2018年呈現下降的趨勢，但它似乎又回來了 – 只是這次的攻擊看起

éå¼µåçç alt å±¬æ§å¼çºç©ºï¼å®çæªæ¡åç¨±çº Ransomeware-200x200.jpg

來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞，會將公司名稱放在勒贖通知裡，而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒（趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ）。這家公司與飲料公司一樣，也似乎成為了被針對的目標，因為受感染系統內的勒贖通知也出現了公司名稱。

根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer，PsExec是可以在遠端電腦上執行程序的命令列工具。

BitPaymer如何出現在系統內

BitPaymer（跟iEncrypt勒索病毒有關）是透過PsExec在製造商的電腦上執行。根據我們的分析顯示，攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。

攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/BitPaymer-Ransomware-Diagram-01.jpg

圖1. BitPaymer勒索病毒的攻擊時間軸

趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間，偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案（我們找到跟BitPaymer共用的載入器）。請注意，在美國飲料公司案例中，一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。

檢視所有的可用資訊，我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。

繼續閱讀

擷取桌面截圖的JobCrypter勒索病毒變種,索1,000 歐元贖金

2019 年 01 月 31 日2019 年 01 月 31 日趨勢科技 TrendMicro

快過年了,勒索病毒紛紛變相拜年討紅包,繼不加密，直接刪除檔案，再格式化備份磁碟的MongoLock變種和夾帶JavaScript惡意程式,散播勒索病毒挖礦程式的垃圾信等把台灣列入重點感染區的病毒後,又有一隻勒索病毒來襲: JobCrypter 變種。

受害者必須在 24 小時內支付 1,000 歐元的贖金以取得檔案解密金鑰,

2017 年初感染數以千計企業和個人使用者的新興勒索病毒Ransomware家族之一JobCrypter,近日變種再進化,趨勢科技最近發現了一個 JobCrypter變種出現新的加密行為，並且會擷取受害電腦桌面的截圖，然後將截圖傳送至某個電子郵件地址。它除了會將檔案重複加密之外，其勒索訊息也一反常態地附加在被加密的檔案內。該勒索病毒要脅受害者必須在 24 小時內支付 1,000 歐元的贖金以取得檔案解密金鑰, 。

將受害者電腦桌面的截圖連同系統相關資訊透過 SMTP 傳送至某個電子郵件地址

新的 JobCrypter 樣本 (趨勢科技命名為 RANSOM.WIN32.JOBCRYPTER.THOAAGAI) 正在網路上流傳，根據通報指出它出現在某個可能已遭入侵的網站。儘管此惡意程式的安裝和啟動程序皆與 2017 年那波攻擊相同，但此樣本卻增加了一項新的行為，會將受害者電腦桌面的截圖連同系統相關資訊透過 SMTP 傳送至某個電子郵件地址。除此之外，也會偵測它所建立的系統登錄機碼「HKCU\Software\MOI」是否存在。

圖 1：JobCrypter 新增了擷取感染電腦桌面抓圖的行為。

圖 2：惡意程式會將電腦桌面截圖連同系統相關資訊傳送至某個電子郵件地址。

繼續閱讀