分類: 勒索病毒/勒索軟體

美國國家野火應變調度小組 (National Wildfire Coordinating Group，簡稱 NWCG) 的網站被人發現暗藏一個 JavaScript 檔案下載器，專門散布 Cerber 勒索病毒。發現該問題的資安研究人員 Ankit Anubhav 表示，該網站上提供的一個 .zip 壓縮檔案內含一個 JavaScript 會執行一段經過加密編碼的 PowerShell 腳本。當 PowerShell 執行時，會去下載一個偽裝成 GIF 圖片的 Cerber 執行檔。

目前仍不清楚駭客如何在該網站植入此勒索病毒，也不曉得是否有任何瀏覽該網站的訪客遭到感染。有可能是該網站遭到駭客入侵，或者該網站儲存了一些含有惡意程式的電子郵件附件壓縮檔。

在該網站上發現的變種與 Cerber 第 6 版都是利用社交工程電子郵件挾帶含有惡意 JavaScript 檔案的附件壓縮檔。從趨勢科技所分析到的 JavaScript 檔案中，我們看到三種感染電腦的方式：直接下載惡意檔案來執行、建立排程工作讓病毒延遲兩分鐘後再執行、執行一個內嵌的 PowerShell 腳本。

圖 1：Cerber 6 感染過程。

Anubhav 在 Twitter 上公布這項發現之後，幾小時內該惡意程式的連結就已被移除。 繼續閱讀

最新一波勒索病毒攻擊鎖定的目標是 MongoDB 資料庫，全球已有數以萬計的伺服器受害。根據媒體報導，有多個駭客集團共同策劃了這一波攻擊，其中一個集團已經駭入了 22,000 台伺服器。

駭客專門攻擊可公開存取並採用預設值設定的資料庫，他們不僅會刪除資料，還會將資料替換成勒索訊息：

「We have your data. Your database is backed up to our servers. If you want to restore it, then send 0.15 BTC [$650] and text me to email, just send your IP-address and payment info. Messages without payment info will be ignored.」(你的資料在我們手上，我們已經將資料備份到我們的伺服器。如果你想要回資料，就匯 0.15 個比特幣 [約 650 美元] 給我，並用電子郵件把你的 IP 位址和付款資訊寄給我。郵件內若無付款資訊我們將會忽略。) 繼續閱讀