勒索病毒/勒索軟體 - 資安趨勢部落格

Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!

2016 年 09 月 13 日2016 年 10 月 17 日趨勢科技 TrendMicro

< 2016/10/12更新 >最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber 勒索病毒,趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（勒索軟體即服務也就是RaaS）。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最新版本的Cerber具備之前版本的功能，像是會念出勒索訊息。跟之前的版本相似，Cerber 3.0會利用Magnitude和Rig漏洞攻擊套件散播。

使用者通常會在點擊播放影片後，被跳出視窗導到漏洞攻擊套件的伺服器,最後會下載 Cerber勒索病毒。這惡意廣告攻擊活動已經影響了好幾個國家，主要集中在台灣。

Magnitude會簡單的利用重新導向腳本。而Rig則會開啟正常網站,比如某服飾網站截圖，也許是為了讓廣告看起來不那麼可疑。

圖1、Rig漏洞攻擊連鎖行為

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

網站連不上？可能是針對伺服器的FAIRWARE新勒索病毒造成

2016 年 09 月 08 日2016 年 09 月 07 日趨勢科技 TrendMicro

新一波的勒索病毒 Ransomware (勒索軟體/綁架病毒) FAIRWARE變種,會攻擊在Linux伺服器上運作的網站。

在Bleeping Computer論壇上的一篇貼文指出,受害者認為自己的系統遭受暴力破解攻擊而被取得權限。一旦進入伺服器，據稱攻擊者會加密並移走網頁目錄內的內容，刪除原始檔案並且留下訊息要求支付2 比特幣贖金來取回檔案。當然，網頁目錄內容被移除的伺服器會無法使用，這對於重要的網頁應用程式來說是很嚴重的問題。受害者被警告要在兩週內支付贖金，不然就無法取回檔案，而且可能會被公開外洩。

目前還不清楚FAIRWARE勒索病毒作者在刪除檔案前是否真的有先移走，還是只是試圖迫使受害者支付贖金。到目前為止，還沒有發現有受害者支付贖金到勒贖通知內指定的比特幣錢包，但不排除當有價值的資料被綁票時，會有受害者支付贖金換回檔案。繼續閱讀

在出現勒索訊息之前,勒索病毒暗中做的四件事

2016 年 08 月 31 日2016 年 09 月 02 日趨勢科技 TrendMicro

勒索病毒：幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫，不僅危害一般的使用者，還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽，勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒，直到他們看到勒贖訊息突然出現在螢幕上，但那時為時已晚。

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言

對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果，在受害者看到勒贖通知之前,這中間發生了什麼事？

1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內，通常是以可執行檔的格式。在Windows環境，惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾，原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

2.連線到特定網站收發資訊

一旦惡意軟體進入系統，它會連上網路並且聯絡伺服器，在這個階段，勒索病毒跟命令和控制（C&C）伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡（趨勢科技偵測為RANSOM_POGOTEAR.A），惡意軟體連到特定網站來收發資訊。

3.搜尋特定類型的檔案進行加密 繼續閱讀

從六隻常見勒索病毒訊息,分辨您感染了何種勒索病毒

2016 年 08 月 30 日2016 年 09 月 01 日趨勢科技 TrendMicro

自從勒索病毒 Ransomware (勒索軟體/綁架病毒) 首次出現以來，其數量已翻了數倍，而且隨著新的家族和變種不斷出現，再加上原有的家族亦持續更新，這所有的跡象都顯示勒索病毒的問題仍在持續擴大當中。勒索病毒之所以能夠得逞，很重要的一個原因是它能讓受害者心生恐懼，因此很容易乖乖就範，照著勒索訊息的指示支付贖金。

勒索訊息的內容大致包含付款資訊和威脅內容：經由什麼方式付款、該付多少、不付的後果會怎樣等等。但是，受害者顯然想知道更多資訊，可能的話最好知道如何防範勒索病毒，或者，是否有辦法移除勒索病毒，例如使用免費解密工具。不過，首先您必須知道您感染的是什麼勒索病毒，以下我們將介紹x六個最常見的勒索病毒以及勒索訊息來幫助您跨出這第一步。

CERBER:會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金
CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕
奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除
Locky：迫使醫院緊急將所有電腦關機,改用紙本作業
RAA:不僅會偷密碼，還會偷比特幣錢包
MIRCOP: 做賊喊抓賊的,說自己是受害者的

當 RAA 第一次亮相時，最令人矚目的是它使用 JScript 來躲避偵測，並且讓自己更容易透過編碼來隱藏。進入系統之後，RAA (趨勢科技命名為 RANSOM_JSRAA.A) 會搜尋下列副檔名的檔案：.doc、.xls、.rft、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar、.csv 等等，接著將檔案加密，然後在檔名末端加上「.locked」副檔名。除此之外，RAA 還會在系統植入專門竊取資料的 FAREIT (亦稱為 Pony) 惡意程式，它會搜尋系統上儲存的 FTP 用戶端和其他檔案管理軟體、電子郵件用戶端、網站瀏覽器、甚至比特幣(Bitcoin) 錢包的帳號密碼。蒐集到的資料會傳送至某個幕後操縱 (C&C) 伺服器。其勒索訊息是以俄羅斯文撰寫，內容提供了支付贖金的步驟，贖金最高 0.39 比特幣 (約合 7308 台幣)。

***CERBER:*會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金**

Cerber (趨勢科技命名為 RANSOM_CERBER.A) 最明顯的特徵是具備語音功能，會逐字唸出勒索訊息的內容，以說話方式不斷提醒受害者支付贖金。Cerber 犯罪集團要求的贖金為 1.24 比特幣(根據 2016 年 8 月 23 日的匯率約合 23,238 台幣)，付款期限是七天，過了期限之後贖金將加倍。正如其勒索訊息所說，受害者的照片、資料庫以及其他重要文件都已遭到加密，受害者電腦上所有下列副檔名的檔案都會遭到加密：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4、.mpg，而且副檔名會改成「.cerber」。

CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕

當 CryptXXX (趨勢科技命名為 RANSOM_WALTRIX.C) 一開始被發現時，它是從早期勒索病毒 Reveton 所衍生而來,經過多次改版和改頭換面之後，現在它已變得相當難以破解。最新的版本不僅會將檔案加密，某些 CryptXXX 變種還會將電腦螢幕鎖住，讓使用者根本無法使用電腦 (但這樣的作法似乎有點適得其反，因為使用者不能使用電腦就看不到勒索訊息)。CryptXXX 已知可加密的檔案類型有 200 多種，包括：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4 以及 .mpg 等等，加密之後副檔名會變成「.crypt」。有趣的是，病毒的作者在某次更新時突然決定「大發慈悲」，給受害者更長的期限來支付 500 美元的贖金，但期限過後贖金依然會加倍。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除

繼續閱讀

勒索病毒侵台居亞洲第二,僅次日本

2016 年 08 月 26 日2016 年 08 月 26 日趨勢科技 TrendMicro

APT 攻擊猖獗,資安組織戰考驗企業資安戰力掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技，今日(25)舉辦資安界年度盛會－CLOUDSEC 2016雲端企業資安高峰論壇，面對全球資安危機，趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢，首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性，及資安防禦三大重點：建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢，協助企業打造最完善的資安防禦策略藍圖，掌握資安主控權！

圖說：趨勢科技CLOUDSEC 2016媒體分享會，邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬！為全亞洲第二高，僅次日本

雲端服務、行動裝置與物聯網等科技進步，使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出^註1，每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生，更有1,800個新的網路威脅產生並散佈到網域中，整體資安環境面臨巨大挑戰！趨勢科技觀察，近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊，以謀得較高的勒索利潤。根據趨勢科技研究報告顯示^註2，截至2016年第二季，台灣地區所偵測到的勒索病毒便高達2百多萬！為全亞洲第二高，僅次於日本。繼續閱讀