勒索病毒/勒索軟體 - 資安趨勢部落格

勒索病毒:是你親手把檔案變成肉票!

2016 年 07 月 13 日2016 年 07 月 13 日趨勢科技 TrendMicro

那些看似尋常的網路行為,竟會讓自己成為檔案被加密的幕後推手?!

在看到勒索病毒加密訊息前,你到底做了什麼事?很多人費盡的回想,都找不到頭緒,以下四個案例可以說明那些看似尋常的網路行為,為何會讓自己成為檔案被加密的幕後推手。

案例一:「我只是偶爾上 FB,看新聞網站,早上一開機,檔案全被鎖住了」

近日台灣大量傳出災情的 CryptXXX(RANSOM_Waltrix)勒索病毒，主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的症狀。

我們一再提醒大家如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

案例二:「我沒有亂開網頁,印象裡有跳出一個程式說要更新,我按『確定』, 就中招了」

當你買保險時.你可能會逐字仔細閱讀,但在網路上按下”我確定”之前,你花多少時間確認? 根據趨勢科技的調查，有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意。

雖然我們一再提醒大家要適時更新作業系統和應用程式,但也得小心勒索病毒也會假冒官方發送假的更新通知。

案例三:「我打開一個看似發票通知的 word 附件,連網路硬碟都被加密了」

繼續閱讀

新 Jigsaw 奪魂鋸加密勒索病毒變種獅子大開口,要求高達5,000美元的比特幣贖金

2016 年 07 月 11 日2016 年 07 月 13 日趨勢科技 TrendMicro

Jigsaw 奪魂鋸加密勒索病毒 Ransomware (勒索軟體/綁架病毒)又出現新的變種 (趨勢科技命名為

RANSOM_JIGSAW.F116FN)，這次採用了匿名者 (Anonymous) 駭客團體的主題背景。新的 Jigsaw 變種比前一代更變本加厲，將原本 150 美元的贖金一下子提高到 $5,000 美元 (以比特幣支付)，且加密後的檔案副檔名改成「.epic」。此外，勒索訊息當中還表示將蒐集受害者的帳號密碼與電子郵件和即時通訊內容，並且威脅將發送一份給受害者的所有聯絡人，不過這項能力並未獲得證實，很可能只是一種恐嚇伎倆。

另一個之前出現過的 Jigsaw 變種還提供了公開聊天平台的帳號讓受害者可以和歹徒聯絡並討價還價，有趣的是，歹徒並無法確切知道受害者是何時感染的，因為其「倒數計時」是根據受害裝置上 Cookie 的記錄，如果 Cookie 被刪除了，倒數計時將回復到 24 小時，所以當下的贖金是多少，其實歹徒只能仰賴受害者誠實告知。

Jigsaw 加密勒索病毒 (趨勢科技命名為 RANSOM_JIGSAW.A) 首次出現於 2016 年 4 月，Jigsaw 借用了恐怖電影《奪魂鋸》(Saw) 的手法，不但將使用者的檔案鎖住，而且會每小時 (或是在程式重新啟動時) 刪除一批檔案，用意在製造受害者心理上的恐懼和壓力，迫使受害者付錢，因為，時間拖得越久，每批刪除的檔案數量就會增加。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

繼續閱讀

作賊喊抓賊!加密勒索病毒竟說自己是受害者

2016 年 07 月 07 日2016 年 07 月 01 日趨勢科技 TrendMicro

最近，勒索病毒 Ransomware (勒索軟體/綁架病毒)的行為成了大家討論的重點，例如：GOOPIC 給予的贖金支付期限特別長、RAA 會偷取密碼、最新的 JIGSAW 變種則提供了線上聊天支援，而這些還只是六月份出現的案例而已。不過，在這些新的行為當中，最特殊的還是MIRCOP 加密勒索病毒。

MIRCOP 加密勒索病毒 (趨勢科技命名為 RANSOM_MIRCOP.A) 會將一切怪罪到受害者身上，並且還不提供如何支付贖金的指示，事實上，它顯然假設受害者已經知道該如何「歸還」款項。

圖 1：MIRCOP 的勒贖訊息。

此處的重點在於「歸還」這件事，就整個情況看來，受害者似乎心知肚明該將贖金支付給誰，引用「蓋伊·福克斯」面具頭像的勒索訊息似乎暗示受害者「偷了」某知名駭客激進團體的東西，並且威脅受害者如不歸還這筆金額，將採取進一步行動。

編按:蓋伊·福克斯面具是根據蓋伊·福克斯的面容加以風格化而描繪成的一種肖像。這位火藥陰謀計劃中最著名的成員曾於1605年企圖在倫敦炸毀上議院但未成功。插畫家大衛·勞埃德將蓋伊·福克斯的臉部肖像設計成有著特大的笑容、透紅的雙頰、開開往上翹的八字鬍、以及下巴上有著細細尖尖垂直鬍鬚樣子的風格。1982年所出版的《V怪客》漫畫以及2006年所改編的同名電影都將這樣風格的肖像用作為故事情節的主要元素，使得該肖像已然成為各式各樣抗議活動的象徵。自其在網路論壇上出現之後，網路駭客組織團體「匿名者」便在2008年的佔領運動「Chanology 行動」中使用這種風格的面具肖像，也曾在世界各地其他的反政府、反體制的示威遊行中使用過，使得該面具成為眾所周知匿名者組織的象徵符號。
以上來自維基百科: 蓋伊·福克斯面具

繼續閱讀

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

2016 年 07 月 06 日2016 年 06 月 30 日趨勢科技 TrendMicro

今年稍早，趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件，占該年所有漏洞攻擊套件活動的 59.5%，但如今卻完全銷聲匿跡。

有趣的是，就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後， Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂，但網路犯罪分子顯然並未受到影響，因為他們正忙著尋找新的漏洞攻擊套件來取代，Angler 之所以成為當時的首選，是因為它收錄新漏洞的速度最快，而且擁有許多躲避防毒軟體偵測的技巧，例如：將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後，趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加，但完全無法和 Angler 相提並論，顯然，之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1：漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒)，那麼 Angler 沉寂之後，是否會對勒索病毒造成影響？答案是：「不盡然」。今年三月，我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒，而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上，我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino，而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件，也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞，Rig 曾經出現在近期的一波惡意廣告當中，受害者幾乎遍及 40 個國家，但主要目標為日本。