今年二月初,趨勢科技曾經提過 針對非 Windows 系統的勒索病毒將開始崛起 ,最近出現的 Patcher (趨勢科技命名為:OSX_CRYPPATCHER.A) 正是一個專挑 MacOS 作業系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)。
[相關文章:專挑類 UNIX 系統的勒索病毒將帶來什麼改變]
Patcher 是 經由 bittorrent 檔案下載散布,它會偽裝成 Microsoft Office 和 Adobe Premiere Pro 等熱門軟體的修補程式。一旦下載之後,資料夾顯示的應用程式圖示上有「Patcher」字樣。
當其檔案執行時,螢幕上會出現一個假裝準備進行修補的畫面。然而 Patcher 勒索病毒一旦執行,就會開始使用隨機產生的 25 字元加密金鑰來將檔案加密。它會將「/Users」目錄以及掛載到「/Volumes」目錄下的磁碟和外接裝置當中所有檔案加密。此外,也會在使用者的系統上放置一份勒索訊息,勒索的金額為 0.25 比特幣 (約 300 美元)。 繼續閱讀
在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件,專門提供沒有技術能力的新手,根據自己的需求來設定勒索細節。
容易讓網友掉以輕心的駭人手法,包含:先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入惡名昭彰的勒索病毒 Locky。
提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆
它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !
許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:
“最近我同事只是追劇而已就中招,整個電腦資料全毀….”
在「勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬」這文章中我們了解勒索病毒可以說讓犯罪集團賺翻了,那麼,您該如何確保自己不會成為另一棵搖錢樹?
以下是您可以做的三個步驟:
1. 備份、備份、再備份
2. 盡速修補系統漏洞
3. 建立重要的資安防護
層層的防禦不僅能提升您的防護,而且只需多花一點點投資。
第一道防護:備份、備份、再備份
有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。
這使得兩種犯罪在機制上有明顯的差異。在真實世界,歹徒若挾持了某樣東西向您勒索,那表示東西已經不在您手上。當您支付贖金,歹徒可能會物歸原主,也可能拿到錢就音訊全無。
在數位世界裡,歹徒的作法則是將您的資料加密,讓您無法存取資料,直到您付錢為止…如果歹徒佛心來著。
當勒索病毒感染了某個系統時,會將系統上能找到的資料全部加密。基本上,這等於讓您無法存取資料,接著就能要脅您支付贖金。但如果您有另一份備份資料,情勢將完全改觀。
完善的備份措施是防範勒索病毒的首要步驟。有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。
不要再碰運氣,或是總是說等有空再做備份,立刻將所有資料妥善備份到本地端和雲端。而且,是的,不論個人或大型企業機構都該這麼做。
一旦有了完善的備份,您就必須定期進行復原測試,因為備份資料要能復原才能發揮作用。
軟體本來就非常複雜,因此有問題是正常的,所以才會不斷有更新。這些更新通常會修補一些歹徒可能利用的系統漏洞。 繼續閱讀
00_
去年三月趨勢科技研究團隊發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware ),透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。
該病毒會讓電腦出現藍色當機畫面,並且在電腦重新開機時,出現不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。
上個月GoldenEye (黃金眼) 勒索病毒 Ransomware (勒索軟體/綁架病毒) (趨勢科技命名為 RANSOM_GOLDENEYE.A)發動了一波波的攻擊,尤其特別針對企業的人事部門。GoldenEye 其實是 Petya (RANSOM_PETYA) 和 Mischa (RANSOM_MISCHA) 兩個勒索病毒的合體。
假冒求職信,偽裝履歷表的PDF 檔案,會覆寫系統硬碟的主要開機磁區 (MBR)
GoldenEye 如同 Petya 和 HDDCryptor 一樣,會覆寫系統硬碟的主要開機磁區 (MBR),此外也會假冒成求職信件,且信件同樣是挾帶了偽裝成履歷表的惡意 PDF 檔案與暗藏惡意巨集的 Excel 試算表 (XLS)。
圖 1:GoldenEye 假冒成履歷表的 PDF 檔案 (左) 與挾帶 XLS 檔案的垃圾郵件 (右)。
趨勢科技在「資安攻防新層次:趨勢科技 2017 年資安預測」報告當中指出,勒索病毒的成長力道在 2017 年將開始趨緩,但攻擊手法和攻擊目標將開始朝多元化發展。讓我們來仔細看看這意味著什麼,以及這項威脅明年將如何演變。
趨勢科技的資安預測基本上是根據 IT 運算潮流的發展與威脅情勢的演變而歸納出來。勒索病毒及其幕後的犯罪集團多年來已有長足的進步,從最早的FakeAV 假防毒軟體,到專門鎖住螢幕的 Screen Locker 勒索病毒,最後發展成今日的加密勒索病毒 Ransomware (勒索軟體/綁架病毒)。這樣的演變事實上是因為歹徒希望盡可能提高整體投資報酬率與單一目標感染率。而 FakeAV 和 Screen Locker 就是無法達成這項目標,因此歹徒後來想到,如果可以挾持使用者的重要檔案或系統,不僅受害者更可能支付贖金,而且還可以提高贖金的價碼。2017 年,除了將看到更多勒索病毒家族之外,同時也將看到更多樣化的攻擊手法和攻擊對象。
►《延伸閱讀》: 資安攻防新層次:趨勢科技 2017 年資安預測」報告
2016 年勒索病毒疫發不可收拾, 150 個新勒索病毒家族,成長率高達 400%
目前,勒索病毒是全世界最大的資安威脅之一。2015 年,我們發現的勒索病毒家族僅有 29 個,但 2016 年我們已發現 150 個新的家族,成長率高達 400%。不過,我們預料這股成長力道將無法持續下去,儘管如此,2017 年仍將較 2016 年成長 25%。換句話說,我們仍需面對各種新的勒索病毒,不過歹徒將專心開發新的對象,以及更多針對企業的攻擊技巧。
2016 年我們已見到這樣的發展,例如舊金山市交通運輸局 (Municipal Transport Agency,簡稱SFMTA) 最近發生的案例,歹徒入侵了該局的自動收費機,使得營運受到影響。SFMTA 為了不影響大眾權益,決定以不收費的方式繼續維持營運。像這類針對企業機構的攻擊,2017 年將更為常見,因為企業為了維持營運,很可能會願意支付較高的贖金。一般來說,勒索病毒要求的贖金大約是 1 至 2 比特幣(Bitcoin) (約合 775 至 1550 美元),但如果對象是SFMTA 這樣的企業機構,歹徒的贖金價碼將大幅提高,約為 100 比特幣 (73,000 美元左右),這麼高的投資報酬率,正是歹徒鍥而不捨的原因。凡是營運不能稍有閃失的企業 (如:醫療、製造、公共事業等等) 都應設法將營運管理系統與內部主要網路隔離,或者在傳統的防禦之外,額外增加一些防護。
預測更多的針對性攻擊/鎖定目標攻擊(Targeted attack )利用勒索病毒; 更多非 PC 裝置可能成為肉票
另一項有關勒索病毒的預測是歹徒的攻擊手法將多元化。我們將看到更多的針對性攻擊/鎖定目標攻擊(Targeted attack )開始在受害者電腦上植入勒索病毒,因為這樣不僅可竊取受害者的資料拿到地下市場販售,更可挾持這些資料來勒索贖金 (如果你支付 $XX 贖金,我就不將這些資料公開)。除此之外,我們也將看到一些非 PC 裝置,如:物聯網 IoT ,Internet of Thing裝置、PoS 銷售櫃台系統,甚至銀行 ATM 提款機,都將成為勒索病毒的攻擊目標,如同近幾年來專門攻擊 Android 裝置的行動勒索病毒一樣。發掘更多的攻擊面,一向是歹徒擴大感染率和獲利的策略之一。 繼續閱讀
在上一篇的文章:《行動裝置勒索病毒》躲進口袋的壞東西,Android勒索病毒數量增加了140%中,我們探討了惡意軟體如何鎖住設備以及如何說服受害者付錢的恐嚇手法。現在知道了壞人能夠做什麼,接下來要討論的是資安廠商用來阻止它們的偵測和解決技術。我們希望透過與其他研究人員的技術分享來提升業界解決行動勒索病毒的整體知識。
偵測和解決
檢視行動勒索病毒 Ransomware (勒索軟體/綁架病毒)的技術特性讓我們得以設計和做出正確的偵測和解決技術。有許多種方法可以處理這問題:我們的想法是這些惡意特性必須得出現在應用程式的程式碼中。我們利用靜態分析加上解決特殊狀況(例如透過映射進行混淆)的一些技巧。
圖1、各種找出行動勒索病毒的方法