勒索病毒/勒索軟體 - 資安趨勢部落格

勒索病毒盛行年代,企業的四個防護對策

2017 年 08 月 15 日2017 年 08 月 08 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)無疑是企業最懼怕的威脅之一，企業組織擁有眾多的數位化資料、重要應用程式和其他系統，這些關鍵資產一旦存取中斷，將迅速對造成災難。

儘管企業努力教育員工，提升人員預防感染的能力，但勒索病毒攻擊仍層出不窮。值此時刻，企業不只要迅速應對當下的威脅，也要對未來的防護有所對策。

勒索病毒：簡史

根據趨勢科技的調查白皮書「勒索病毒的過去、現在及未來」(Ransomware: Past, Present and Future) 指出，第一個勒索病毒樣本出現在 2000 年代中期，自此成為網路犯罪社群最主要的勒索工具。許多早期出現的勒索病毒運作方式跟現在剛發現的新樣本類似，在滲透受害者的系統後，對重要的檔案和資料進行加密，除了擁有解密金鑰的駭客以外，任何人均無法存取。接著攻擊者會要求贖金，通常是用無法追蹤的比特幣交付，以安全贖回檔案。

攻擊的後果大不相同：有些組織支付贖金後，檔案便解密且恢復存取。有些受害者則沒這麼好運，就算支付了贖金，也永遠拿不回遭竊的資料。

勒索病毒在 2005 與 2006 年時主要以俄羅斯的受害者為攻擊目標，直到 2012 年才擴散到其他歐洲國家。當時的攻擊者小心掩飾其蹤跡，要求透過 paysafecard 和 MoneyPak 等付款方式來交付贖金，以藏匿其惡意活動。

根據趨勢科技的調查，有些早期的勒索病毒攻擊多是為了惡作劇，利用仿真的假冒警告來說服使用者交付贖金。其他樣本則使用真正的螢幕鎖，讓使用者無法跳脫通知視窗。

勒索病毒家族成長達到驚人的 752%

752% 增加率: 2015 年發現 29 個不同的勒索病毒家族，到 2016 年暴增到 247 個，增幅達到驚人的 752%。

2013 年「crypto-ransomware」現身，包括最新惡名昭彰的 CryptoLocker。這些感染變得極度危險，除了加密資料，阻擋存取，這些樣本甚至還能在未交付贖金但超過截止期後刪除加密的檔案。

網路罪犯針對未備份資料的大型企業進行攻擊，最高獲利贖金高達 10 億美元 繼續閱讀

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

2017 年 08 月 10 日2017 年 08 月 10 日趨勢科技 TrendMicro

自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月，我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月，現在又出現了新的演化版本，而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。

勒索病毒廣闢財源

然而整體上，這波 Cerber 病毒是經由電子郵件附檔散布：

圖 1：Cerber 勒索病毒的電子郵件。

這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式，它會從網路上下載 Cerber 的變種，也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同，只不過多了一項新的行為，那就是竊取比特幣（Bitcoin）錢包。

其鎖定竊取的比特幣錢包有三種：第一種是比特幣官方的 Bitcoin Core 錢包，另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案：

dat (Bitcoin)
*.wallet (Multibit)
dat (Electrum)

此處有兩點值得注意。第一，竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二，Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。

在檔案加密「之前」,先偷儲存在瀏覽器上的密碼

不過，新的 Cerber 變種所竊取的資訊還不只這些，它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。繼續閱讀

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

2017 年 08 月 05 日2017 年 12 月 08 日趨勢科技 TrendMicro

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知，勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker)，然而，最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金，否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架，趨勢科技將該病毒命名為：ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫，但這樣的可能性卻很高，因為它們全都散布同一個勒索病毒。除此之外，我們也在 Google Play 商店上發現一些名稱相似的應用程式，雖然我們仍不確定它們與前述惡意程式有何關聯，但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下：

A quick glance at LeakerLocker reveals the following infection vector:

Figure 1: LeakerLocker infection diagram

圖 1：LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載，在本文發布時，該應用程式已經遭到下架，而我們也早已將前述應用程式通報給 Google。

圖 2：Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大，惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後，首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說，若受害手機上沒有太多聯絡人、照片、通話記錄的話，惡意程式將會放棄而中止執行。

圖 3：檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

繼續閱讀

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

2017 年 07 月 21 日2017 年 07 月 21 日趨勢科技 TrendMicro

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”，顧名思義它的確是盜版自其前輩，這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動，會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍，但在6月16日又透過Rig漏洞攻擊套件冒出來。不過，我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是，迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件，就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示，Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1：ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日，Sundown-Pirate會植入Trojan SmokeLoader（TROJ_SMOKELOAD.A），它會安裝資料竊取殭屍網路感染病毒Zyklon（TSPY_ZYKLON.C）。繼續閱讀

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

2017 年 07 月 12 日2017 年 07 月 11 日趨勢科技 TrendMicro

繼淘寶上出現「高仿版」的WannaCry 病毒，售價10 人民幣之後,上個月稍早，趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為：ANDROIDOS_SLOCKER.OPST)，其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一，會鎖定裝置畫面並加密檔案，而且還會假冒執法機關的名義恐嚇受害者，讓受害者乖乖付錢。該病毒在沉寂了多年之後，突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒。

不過，雖然這個 SLocker 變種可將手機上的檔案加密，但卻沒有肆虐多久。因為，就在該病毒的詳細手法被公開之後，不久便出現針對該病毒的解密工具，為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天，一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播)，因此受害者數量非常稀少。