勒索病毒/勒索軟體 - 資安趨勢部落格

什麼是勒索病毒/勒索軟體 ( Ransomware) ?(含歷年勒索病毒與贖金)

2015 年 02 月 01 日2018 年 09 月 26 日趨勢科技 TrendMicro

有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索病毒CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選，「勒索病毒肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索病毒)奪魁,得票數占42.11%。

中了勒索病毒該怎麼辦？「建議受害人付款了事」在一個網路安全高峰會上 FBI 如是表示,此語一出即惹來了爭議。
勒索病毒藏在郵件,藏在載點,藏在廣告裡…只要你上網,就有可能是它的覬覦目標。

勒索病毒假冒執法警察勒索
假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒
加密勒索病毒散播到新地區,台灣列入歐美以外最受影響的國家
勒索程式假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件
48小時內支付贖金，否則你手機上的所有資料將永久被破壞！
不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶…..
這些只是本部落格介紹過相關勒索病毒(勒索病毒/綁架軟體)案例的一小部分,今天我們就來認識這個惡意程式

英文有句諺語：「Everything old is new again」

這對網路威脅來說是再對也不過了。
在過去幾個月間，我們的研究人員就看見勒索病毒 Ransomware再度地捲土重來。
這是件值得關心的事情，因為最新的勒索病毒非常複雜。這代表著如果感染了勒索病毒，會為你帶來很大的麻煩。

什麼是勒索病毒？

勒索病毒 Ransomware是一種特殊的惡意軟體，讓你失去對自己系統或資料的控制，而且如果不付錢給這攻擊的背後黑手也就無法拿回來。基本上，你的系統或資料成為了人質，讓你被迫去支付贖金。這也就是它被稱為「勒索病毒」的原因。

勒索病毒散播有十年了。第一個版本早在2005年就在俄羅斯出現。

從那時候起，勒索病毒傳遍了全球，發展出許多不同的版本。某些類型的勒索病毒會偽稱為當地的警察機構：贖金以「罰款」的形式出現，讓使用者不得不馬上支付。有些較複雜的警察勒索病毒會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息。

2013年有一個特別麻煩的勒索病毒稱為「Cryptolocker」。它會加密重要檔案，只有當你支付贖金後才提供解密方法。Cryptolocker變種使用無法破解的加密演算法，所以使用者只能選擇乖乖付錢（隨然可能不會真的解密檔案）或失去他們的資料。

勒索病毒甚至還從一般電腦發展到Android系統上。

從 2013 年起，我們所偵測到的傳統勒索病毒與加密勒索病毒的比例，已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家，到了2015年，勒索病毒開始出現簡中介面，臺灣爆發災情,受害者包含企業和個人用戶。

從以下三點可以看到勒索病毒事業愈做愈大了:
1.成立技術支援團隊，全天候 7 天 24 小時提供付款電話支援服務
2.提供網路聊天的方式即時協助受害者進行付款流程
3.架設網站，提供免費試用解密工具…看完整報導

勒索病毒現在的狀況？

勒索病毒威脅似乎在2014年稍微減緩，但很快又再度回來了,比如歐洲的Cryptolocker類型攻擊和 Reveton勒索病毒捲土重來。同時，我們在澳洲看到一個新的Crytpolocker類型勒索病毒變種稱為「Torrentlocker」。另一個Cryptolocker類型勒索病毒被稱為Critroni或Curve-Tor-Bitcoin（CTB）Locker。

你可以參考趨勢科技和澳洲迪肯大學的研究人員合作製作的影片來了解TorrentLocker如何運作。

新一代的Cryptolocker類型勒索病毒加入一些創新功能以提高你支付贖金的可能性，好讓網路犯罪份子得到所想要的東西：你的錢。這些新版本會提供更多時間去支付這筆錢。還會讓你有機會解回一個或多個檔案以證明的確可以做到。你可以將其想成是典型地證明你資料肉票還活著的做法，代表它真的還在那裡。

即使有了這些創新做法，但它的本質仍然不變，還是一樣是勒索病毒：控制你系統或檔案的惡意軟體，除非你付攻擊者錢，否則拒絕交回。但即使你真的付錢也不能保證它們會回來。

關於勒索病毒，你該做什麼？

勒索病毒捲土重來這件事並不奇怪。在2013年2月，Reveton勒索病毒背後的關鍵人物被捕，這也導致了此一活躍的勒索病毒威脅大幅下降。CryptoLocker/GOZ在2014年6月被國際執法機構破獲也打亂此一威脅的全球分佈。但勒索病毒減少只是因為有人被逮捕了，並非不再有用。所以出現某人再度利用勒索病毒只是時間的問題。

勒索病毒不會很快地消失，它已經擴散到其他平台，像是Android系統。因為一旦中毒，勒索病毒就會很快地破壞你的檔案，所以你在面對此一威脅時的首要之務是不要中毒。保護自己並對抗勒索病毒的最好方法是讓系統保持在最新狀態，運行功能全面的安全軟體，小心你所打開的附加檔案。而特別是針對勒索病毒，必須確保你的系統有進行定期備份：好的備份可以讓你在感染勒索病毒 Ransomware後可以幫助你加以回復。

＠原文出處：It’s Baaacck: Ransomware Returns with a Vengeance

作者：Christopher Budd

PC-cillin 雲端版已增加對勒索病毒 Ransomware加密行為的防護機制，可預防檔案被勒索病毒惡意加密！即刻免費下載試用

★你付錢了嗎?別讓檔案當肉票!勒索病毒常見問題集
 ★看更多勒索病毒文章…….
★看更多資安漫畫

如何防禦勒索病毒?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin對抗勒索病毒
【企業用戶】
★趨勢科技端點解決方案
 ★中小企業如何防禦加密勒索病毒?

歷年勒索病毒與贖金

1989 年PC Cyborg贖金 378 美元
惡意勒索程式是專門針對網路勒索而特製的一種惡意程式，其根源可以追溯至 Joseph Popp 博士的 PC Cyborg 特洛伊木馬程式；首次出現於 1989 年。這種特洛伊木馬程式是透過軟碟複製的，而那些軟碟則是在一場 AIDS 研討會中散發的。執行之後，它會修改系統的 AUTOEXEC.BAT 檔來監控電腦開機了幾次。然後在系統第 90 次開機時，它會將系統中所有檔案重新命名。接著透過充滿威脅的「使用者授權合約 (EULA)」，告知遭到感染的使用者，必須支付贖金 378 美元給 PC Cyborg Corporation。

2005 年 TROJ_PGPCODER.A贖金 200 美元

想打開你電腦中的檔案嗎？聽從指示匯給我200美金，收到錢後你會拿到解碼程式”這是2005年TROJ_PGPCODER.A 木馬病毒，在受害者電腦中的留言。TROJ_PGPCODER.A 勒索木馬採用目前網路釣魚和間諜程式常用的手法，在瀏覽網站時，趁機安裝潛入受害電腦。這也是第一隻被命名為「惡意勒索程式 (ransomware)」的病毒；該程式會挾持檔案予以加密以便勒索，然後留下勒索訊息，亦即一個README.TXT 檔案。

2006 年TROJ_CRYZIP.A要解開壓縮檔案密碼？索取300 美金

一年之後，出現另一個類似的 TROJ_CRYZIP.A。TROJ_CRYZIP.A 會將檔案壓縮成有密碼保護的 .ZIP 資料夾，並強迫受感染的使用者將 300 美元存入特定的 e-gold 帳戶。

在偵測到 TROJ_CRYZIP.A 後才一天，TROJ_RANSOM.A 隨即出現。與TROJ_RANSOM.B 類似的是，它也會鎖住電腦系統，但要求比較少的贖金 10.99 美元。不同的地方在於，它每隔 30 分鐘宣稱一次，除非支付贖金，否則就刪除檔案。

2006 年TROJ_ARCHIVEUS.A 勒索方式-到藥局消費 75 元換解密金鑰

2006 年底之前，出現了另一個惡意勒索程式 TROJ_ARCHIVEUS.A。這個特洛伊木馬程式非常不尋常，因為它會複製「我的文件」資料夾之下的所有檔案，並將它們放在一個名為 EncryptedFiles.ALS 的檔案中。然後它宣稱會刪除原始檔，之後，它會要求受感染的使用者到一個俄羅斯線上藥局購買 75 元的東西，才能獲得解密金鑰。

2007 年多隻勒索病毒強迫購買150-300 美金軟體

雖然 2007 年充斥著新型的網路威脅，但惡意勒索程式並沒有從威脅情況中完全消失。那一年有三個新的惡意勒索程式被發現：TSPY_KOLLAH.F、TROJ_GPCODE.AB 以及 TROJ_GPCODE.AC。TSPY_KOLLAH.F 是在同年 7 月偵測到的，而且就如從之前偵測到的惡意勒索程式一樣，它會綁架檔案當人質。它也宣稱要使用 RSA-4096 演算法來加密那些檔案。它會留下 README.TXT 檔當作勒索訊息，告知使用者購買價值 300 美元的軟體，才能將他們的檔案解密。

一個月後，出現了 TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 威脅。與TSPY_KOLLAH.F 類似，TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 也都會將檔案加密，並留下勒索訊息 (README.ASAP.TXT)。然後使用者要被迫購買 150 元的軟體，才能將自己的檔案解密。

四個月後，TROJ_RANSOM.B 出現了。TROJ_RANSOM.B 有可能造成更多損害，因為它挾持當作人質的不僅是檔案，還包括電腦本身。此外，使用者也可能經由其他惡意程式而感染到 TROJ_RANSOM.B。

2013年「Cryptolocker」加密勒索病毒開始盛行

2013年出現一個特別麻煩的勒索病毒-當時被稱為史上最狠毒的勒索病毒:「Cryptolocker」。它會加密重要的檔案，只有當你支付贖金後才提供解密方法。至此,加密勒索病毒開始大行其道，相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索病毒 Ransomware的崛起。從 2013 年起，我們所偵測到的傳統勒索病毒與加密勒索病毒的比例，已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家，到了2015年，勒索病毒開始出現簡中介面，臺灣爆發災情,受害者包含企業和個人用戶。

勒索訊息：是恐嚇手法還是真的威脅？

與許多威脅一樣，惡意勒索程式也使用社交工程 ( Social Engineering )陷阱手法從使用者手中敲詐金錢。藉著製造恐怖情節，也就是資料遺失或系統無法使用，然後說服使用者真的支付贖金。很自然地，有些受害者就不得不付出金錢以結束恐懼。

例如，下列文字是 TROJ_GPCODE.AB 與 TROJ_GPCODE.AC 惡意程式作者所寫的勒索訊息：
親愛的使用者：
謝謝您使用我們的服務。
最近我們檢查了您的系統，發現到許多嚴重的安全性漏洞。
這不是笑話，而且很清楚的是，我們可以將您所有的檔案、文件、封存檔及資料檔案加密。
為了您的安全，我們比下列其他人更早做到：駭客、病毒或愚蠢的破壞者。
全球有許多綁架程式正在獵取您的銀行帳號、信用卡資訊或其他有價值的東西。
現在，就算他們入侵您的電腦也偷不到東西，因為您所有的重要檔案都已經加密並保全了。在不遠的未來內，還沒有任何技術或科學方法可以破解這種加密。不幸的是，與其他工作一樣，我們的服務也要費用。只要美金 150 元。這比起您遺失所有檔案的價值要少得多了。

我們僅接受「西聯匯款 (Western Union)」，而且保證在收到您付款的一小時內，您就會收到解密程式與詳細的手冊。

如果您希望取回您的資訊，只要寄電子郵件到下列信箱：
XXXXX@XXXXXXXXXXXXXXXX
我們會在五分鐘內傳送給您進一步指示。
不用擔心，在我們接獲「西聯匯款 (Western Union Transfer)」詳細資訊一小時內，您就可以取回所有資訊。只要一小時！！！
很抱歉造成您的不便，但我們僅收取分文，比起別人收取高額費用要好得多。

在上述例子中，大家可以注意到，勒索訊息似乎是要幫助使用者一臂之力，因為據稱系統存在著「安全性漏洞」或逾期的安全軟體。但事實上，這些只是要使用者照著罪犯指示去做下列事情的社會工程手法：付錢。我們可以問一個很合邏輯的問題：惡意勒索程式真的能像他們所說的將檔案加密嗎？

根據 TrendLab 一位工程師 Alvin Jethro Bacani 表示，有些惡意勒索程式的確有能力可以將檔案加密。不只是虛張聲勢或矇騙使用者，惡意勒索程式的確可以將人質檔案加密。早期的惡意勒索程式版本具有 56 位元金鑰 RSA 演算法，後來開始發展到使用 660 位元金鑰。這會使得實際解密檔案的時間拖很長。這表示，雖然安全性廠商都有修復工具可以欣然將「被誘拐」的檔案解密並復原，但還是有惡意程式作者會不停地使用越來越複雜的方式來換取更多時間。

惡意勒索程式有可能造成龐大損害，特別是如果感染了使用者在組織內的業務重要資訊。同樣的，家用電腦使用者如果資料遺失，也會蒙受很大的損失。根據 Secure Science Corporation 統計，2007 年 1 月至 8 月，惡意勒索程式的受害使用者約有 152,000 人，而資料損失的可能性更難以估計。

解決方法

雖然勒索惡意程式使用社交工程 ( Social Engineering )陷阱來欺騙使用者，但還是有方法可以保護使用者，免於蒙受這種攻擊的損失。使用者必須隨時養成安全的電腦使用習慣，才能在一開始就不將這些程式碼引入到系統中。就這一點來說，隨時保持安全軟體、作業系統及其他應用程式的最新狀態，也是最好的方法。目前已經知道，惡意勒索程式是利用軟體中存在的弱點來遂行其犯罪企圖。

將檔案備份也是很基本的。照著勒索的要求付款，並不能保證被加密的檔案得以復原，也不能保證惡意程式作者所傳送的解密程式金鑰真的可以取回檔案。萬一不幸發生系統感染事件，千萬不要慌張：必須獲得安全廠商的協助，才能妥善處理受害情況。

資料來源：

〈惡意勒索程式 101〉(Ransomware 101)，作者：John Edwards
〈惡意勒索程式開始出現〉(Ransomware Rising)，作者：Brian Krebs，Washington Post
〈惡意勒索程式特洛伊木馬程式〉(Ransomware Trojan)，作者：The Register
維基百科的「惡意勒索程式」(Ransomware) 條目
趨勢科技 (Trend Micro) 惡意程式部落格項目：可以救回系統的簡訊或電話 (Text or Call to Bring Your System Back)
趨勢科技 (Trend Micro) 惡意程式部落格項目：惡意勒索程式再次攻擊… 贖金較低(Ransomware Strikes Again…At a Cheaper Price)
〈這個特洛伊木馬使用 RSA-4096 來加密資料… 真的嗎？〉(This Trojan Encrypts Data with RSA-4096.. Really?) 作者：Heise Security UK
〈惡意勒索程式越來越難以破解〉(Ransomware Are Getting Harder to Break)，作者：The Register
〈勒索的檔案〉 (Files for Ransom)，作者：Network World
〈家用電腦的勒索威脅〉(Hostage Threat to Home PCs)，作者：Sydney Morning Herald 的 Louisa Hearn

PC-cillin 2016雲端版已有增加對勒索病毒 Ransomware加密行為的防護機制，可預防檔案被勒索病毒惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

勒索軟體提供變更勒贖訊息語系的選項,中國出現激增災情

2015 年 01 月 30 日2015 年 10 月 02 日趨勢科技 TrendMicro

CTB-Locker勒索軟體加入免費軟體功能並且延長期限

趨勢科技在去年七月發現一個稱為Critroni或Curve-TOR-Bitcoin（CTB）Locker的加密勒索軟體 Ransomware。最近我們觀察到CTB惡意軟體的改進，現在提供了「免費解密」服務、延長檔案解密期限及提供變更勒贖訊息語系的選項。這新變種還要求支付3比特幣（約630美元），而在七月所看到的舊版本只收取0.02比特幣或24美元。

除了這些改進外，我們也看到這些攻擊在某些地區激增，主要是歐洲、中東和非洲（EMEA）、中國、拉丁美洲和印度。

感染CTB-Locker

我們之前報導過CTB Locker會使用Tor來隱藏其活動，但這新變種有著顯著的新變化。

這個CTB-Locker變種透過垃圾郵件到達。這些垃圾郵件用不同的語言寄送，常常偽裝成重要通知訊息以誘騙收信者打開附加檔案，趨勢科技注意到是壓縮兩次的檔案。

這些攻擊所使用的部分垃圾郵件樣本被判斷是由長期存在的CUTWAIL殭屍網路之部分系統所發送。CUTWAIL已知會重複使用現有的資源（包括「Botnet傀儡殭屍網路」）；所以這波垃圾郵件攻擊的部分IP地址早出現在我們垃圾郵件黑名單上多年也就不令人意外了，有些地址甚至早在2004年就已經被列入黑名單。

圖1、帶有惡意ZIP附加檔案的垃圾郵件樣本，裡面包含惡意下載程式TROJ_CRYPCTB.SMD
其附加檔案實際上是一個惡意下載程式，被偵測為TROJ_CRYPCTB.SMD。這個惡意軟體會連到多個網址來下載CTB-Locker惡意軟體到系統上。這勒索軟體 Ransomware被偵測為TROJ_CRYPCTB.SME。檢查這些網址後，我們確定這些都是被入侵淪陷的網站，而且都在法國。這個惡意軟體用輪循（Round-Robin）的方式來選擇惡意軟體下載網址。

這裡有個解釋攻擊模式的圖表，感染鏈開始於帶有惡意ZIP附加檔案的垃圾郵件（如圖1所示的郵件範例）。

圖2、CTB-Locker感染鏈範例

新的發展

七月出現的舊版TROJ_CRYPCTB.A變種只給使用者72個小時，而這個新版本給使用者96個小時付款。延長期限可能是基於現實考量：較長的期限意味著可能會有更多受害者能夠支付費用。

按下「Next（下一步）」會出現「Test Decryption（測試解密）」的選項，惡意軟體在這裡透過免費服務來引誘使用者。「Test Decryption（測試解密）」功能可以隨機解密五個檔案，用以說服使用者真的可以解密。還出現說明訊息告知使用者不能重新命名或刪除檔案，只有被選中的檔案會被解密。該惡意軟體還會用其他語言（如德文、荷蘭文和義大利文）來顯示勒贖訊息。

繼續按下「Next（下一步）」會出現支付頁面，惡意軟體在這裡會指示受害者支付3比特幣（Bitcoin）或630美元以進行檔案解密；否則所有檔案都將永久保持加密狀態。該訊息還包括了如何透過Tor瀏覽器來支付贖金的說明。以下是趨勢科技在2014年七月所看到舊版本CBT-Locker及最新版本變種間的比較。

圖3、新 CBT-Locker變種要求高達630美元或3比特幣以讓使用者解密自己的檔案

該訊息指出受害者必須在期限內支付贖金。否則所有檔案將永久保持加密狀態。

分析變種後發現一個之前的 CTB-Locker所沒有的功能，就是有免費解密檔案的機會。這種免費模式曾經出現在惡意軟體CoinVault上，但這個 CTB-Locker變種還更加碼，讓受害人可以解密五個檔案而非只有一個。

免費解密可視為是一種說服使用者支付贖金的方式。解密檔案讓受害者覺得如果支付費用的話，自己的其他檔案也可以復原。

圖4、「免費解密」服務

繼續閱讀

【病毒警訊】最新一波勒索軟體/勒贖軟體爆發

2015 年 01 月 21 日2015 年 10 月 02 日趨勢科技 TrendMicro

趨勢科技於今日發現一起新的勒索軟體 Ransomware爆發事件，與之前的勒索軟體 Ransomware相同，此惡意程式會將自己偽裝成Email附加檔案。一旦執行此惡意程式，電腦上的檔案就會被加密鎖定而無法開啟使用。趨勢科技在此提醒您，切勿輕易打開來源不明的信件。

此次勒索軟體 Ransomware相關資訊如下：

首先，惡意程式偽裝成一封垃圾信件的附加檔案：

如果使用者開啟（執行）了惡意附加檔案，會打開一個rtf類型檔案，用以欺騙使用者，讓使用者認為其為正常檔案：繼續閱讀

勒索軟體新手法,可免費贖回一個加密檔案,然後…

2014 年 12 月 05 日2014 年 12 月 11 日趨勢科技 TrendMicro

趨勢科技自從在2013年底注意到加密勒索軟體家族以來，就持續地監控其修改及演進的過程。雖然加密勒索軟體在威脅環境中相對較「新」，但已經將自己打造成對無辜使用者的巨大威脅。加密勒索軟體就是類似Cryptolocker這樣會去透過檔案加密功能來強化的勒索軟體。

趨勢科技發現這兩個變種持續進化的加密勒索軟體。

CoinVault 勒索軟體讓受害者可免費解密一個檔案

CoinVault（或稱TROJ_CRYPTCOIN.AK）勒索軟體從其他變種脫穎而出是因為它提供使用者一個少見的機會：解救一個加密檔案的機會。這惡意軟體經由從惡意網站或受感染隨身碟來自動下載以進入系統。一旦存在系統內，CoinVault能夠收集資訊，連到特定網站，並且加密檔案。

加密受感染系統的檔案後，CoinVault會秀出一段訊息來告訴使用者可以選擇免費解密一個檔案。

圖1、CoinVault在受感染系統中秀出的影像

圖2、（左）：TROJ_CRYPTCOIN.AK（或CoinVault）勒贖訊息，（右）TROJ_CRITOLOCK.A勒贖訊息 繼續閱讀

漏洞攻擊鎖定 Youtube 廣告,現身超過 1100萬點閱率音樂影片

2014 年 10 月 27 日2015 年 10 月 02 日趨勢科技 TrendMicro

惡意廣告是將使用者送到含有惡意程式碼網站的常用方法。然而，最近這些廣告出現在新的攻擊平台上：YouTube。

在過去幾個月內，趨勢科技一直在監視著一起利用惡意廣告來將使用者導到各種惡意網站的惡意攻擊活動。最近，趨勢科技看到此攻擊活動也出現在 YouTube 的廣告上。這是個令人擔憂的發展：不僅是因為惡意廣告出現在 YouTube 上，而且它們出現在超過 1100萬點閱率的影片 – 具體地說是一個知名唱片公司上傳的音樂影片。

繼續閱讀