勒索病毒/勒索軟體 - 資安趨勢部落格

加密勒索軟體:用比特幣贖回你的檔案!!

2014 年 10 月 07 日2014 年 10 月 07 日趨勢科技 TrendMicro

Cryptolocker，勒索軟體 Ransomware的一個分支，具備了檔案加密的功能，在2013年10月開始出現在現實世界。它從被發現開始就不停地演變，加入了新策略和手法來避免被偵測以及說服無辜使用者支付贖金好換回自己的檔案。

Cryptographic Locker勒索軟體

我們最近發現一個自稱為https://blog.trendmicro.com.tw/?s=Cryptolocker的勒索軟體變種。趨勢科技將其偵測為TROJ_CRITOLOCK.A。這被稱為Cryptographic Locker的勒索軟體 Ransomware – TROJ_CRITOLOCK.A用MSIL編譯包裝，意味著它需要.NET Framework來加以運作，這和之前的Cryptolocker不同。

TROJ_CRITOLOCK.A會加密副檔名為DOCX、PSD、RTF、PPT、PPTX、XLS、XLSX和TXT以及其他等各種的檔案。接著會將這些加密過的檔案更名為{原始檔名和副檔名}._clf。它使用一特定版本的Rijndael對稱演算法，這跟Cryptolocker使用非對稱演算法不同。

圖1、TROJ_CRITOLOCK.A在中毒系統上出現此桌布

根據趨勢科技的分析，一旦TROJ_CRITOLOCK.A加密中毒系統上的檔案，就會出現以下訊息來通知使用者檔案已被加密。接著它會要求使用者用比特幣（Bitcoin）支付贖金以取得使用者加密檔案的「私鑰」。比特幣價格來自C&C伺服器所送出包含比特幣位址的封包。在測試的時候，我們收到了0.2比特幣的勒索贖金。

圖2、要求使用者用比特幣支付贖金 繼續閱讀

勒索軟體:限期透過比特幣支付贖金,否則被綁檔案將永久加密

2014 年 08 月 18 日2016 年 03 月 04 日趨勢科技 TrendMicro

最近一次打擊網路犯罪的勝利是中斷了GAMEOVER ZeuS殭屍網路活動。其中最明顯的或許是讓另一重大威脅也受到影響 – 惡名遠播的CryptoLocker惡意軟體。

然而，這次中斷並沒有阻止使用檔案加密勒索軟體 Ransomware的網路犯罪分子。事實上，趨勢科技看到使用新加密和迴避方法的新加密勒索軟體 Ransomware變種出現。

Cryptoblocker和它的加密技術

跟其他勒索軟體 Ransomware變種一樣，這被偵測為TROJ_CRYPTFILE.SM的Cryptoblocker惡意軟體會加密一定數量的檔案。不過這變種有一定的限制。首先，它不會感染大於100MB大小的檔案。此外，它也會跳過資料夾C:\\WINDOWS，C:\\PROGRAM FILES和C:\PROGRAM FILES (X86)內的檔案。

不像其勒索軟體 Ransomware變種，Cryptoblocker不會產生任何文字檔來指示受害者如何解密檔案。相對地，它會顯示下面的對話框。輸入交易ID到文字框內會產生一個訊息，說明「交易已被發送，很快就會得到驗證。」

圖1、對話框

另一個分別是它的加密方式。該惡意軟體不使用CryptoAPIs，這其他勒索軟體 Ransomware明顯不同。CryptoAPIs是用來製造RSA金鑰，這個惡意軟體並沒有使用它。這一點很有趣，因為RSA金鑰會讓解密檔案更加困難。相對地，我們在這惡意軟體程式碼中發現進階加密標準（AES）。

仔細一看還發現，解開程式碼時還會發現編譯註解。這相當有趣，因為編譯註解通常會被刪除。因為這些資料可以被安全研究人員用來偵測（進而封鎖）來自該惡意軟體作者的檔案。出現編譯註解也表示Cryptoblocker背後的壞傢伙可能是勒索軟體的新手。

根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料，美國是受影響最大的國家，其次是法國和日本。加上西班牙和義大利就是前五名受影響的國家。繼續閱讀

CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式

2014 年 07 月 30 日2016 年 01 月 25 日趨勢科技 TrendMicro

在經歷了過去的假防毒軟體和警察木馬程式之後，新的 CryptoLocker 變種開始將目光轉移到特定的攻擊目標。我們看到許多勒索程式變種在警告受害者時會針對不同國家，如：匈牙利、土耳其、日本以及美國使用對應的語言。同樣地，一些勒索軟體 Ransomware也會將訊息和警告通知在地化，讓受害者覺得更真實。此外，另有報導指出，有些變種還會設下嚴格的期限，指示受害者必須在 72 小時內付款以取得解密金鑰，否則系統將被摧毀。

而猙獰的 BitCrypt 則不僅會挾持檔案和系統以勒索現金，還會要求支付比特幣 (Bitcoin)。BitCrypt 主要透過 FAREIT 變種下載，還會竊取比特幣錢包相關資料，這使得勒索程式變得比以往更加複雜。

2014年第一季勒索程式受害者主要分布在美國 (28%)、日本 (22%) 和印度 (9%)，這些同樣也是網路銀行受害最嚴重的國家。或許這只是巧合，但我們仍不禁懷疑勒索程式的氾濫情形是否也可能會助長網路銀行惡意程式的數量。不過，我們過去確實曾經看過網路銀行惡意程式會下載勒索程式，因此若相反的情況發生也不算是太大的突破。

萬物聯網時代，企業必要掌握的資安四大面向

萬物聯網資訊安全中心　　多層次的資訊安全中心控管
萬物聯網駭客攻防手法　　深度分析APT攻擊，建立完整的防禦架構
萬物聯網雲端防護架構　　私有雲、公有雲、混合雲的資訊安全
萬物聯網行動安全機制　　企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起，美國著名研究機構更看到比現今經濟大上30倍的發展契機；引領企業資安布局的您，該如何預見具前瞻價值的資安趨勢，為「萬物可聯網‧無處不資安」的時代及早準備？【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】

“48小時內支付贖金，否則你手機上的所有資料將永久被破壞！”又一手機勒索軟體現身

2014 年 06 月 25 日2014 年 06 月 23 日趨勢科技 TrendMicro

Android勒索軟體利用Tor隱藏C＆C通訊

不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展：利用TOR（The Onion Router）匿名服務來隱藏C＆C通訊。

根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析，我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住，需要支付1000盧布的贖金來解鎖。該畫面還指出，不支付將會導致在行動設備上的所有資料被破壞。

我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店，盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。

底下是顯示給使用者的警告訊息，使用的是俄文：

圖一、給使用者的警告訊息（點擊放大）

下面是警告訊息的粗略翻譯：

因為下載和安裝軟體nelitsenzionnnogo，你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。

要解鎖你的手機需支付1000盧布。

你有48小時的時間支付，否則你手機上的所有資料將永久被破壞！

1.      找到最近的QIWI終端支付系統

2.      使用該終端機器，並選擇補充QIWI VISA WALLET

3.      輸入號碼79660624806，然後按下一步

4.      會出現留言視窗 – 輸入你的號碼去掉7ki

5.      將錢放入終端機，然後按支付

6.      收到付款後的24小時內，你的手機將會被解鎖。

7.      你可以透過行動商店和Messenger Euronetwork支付

注意：試圖自己解開手機會導致手機完全被鎖住，所有消失的資料沒有機會回復。

繼續閱讀

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶

2014 年 05 月 20 日2014 年 05 月 22 日趨勢科技 TrendMicro

一個過去鎖定電腦散播勒索軟體 Ransomware 的惡意集團Reveton ，現在將要求贖金的目標改為Android手機 – 通常是會瀏覽色情網站的訪客。

Reveton是純粹的勒索軟體，它具有系統層級的存取能力，能導致受害者的手機無法運作。被害者為了讓手機恢復原狀，必須透過歹徒指定的付款機制支付300美元贖金，才能取回手機使用權。

勒索軟體 Ransomware出現在行動世界只是個風暴的開始。「這將會變得非常的嚴重，」趨勢科技副總JD Sherry在Ransomware Gang Targets Android Phones這篇報導中說道：「我們將會在這一年看到大量的惡意軟體對手機進行攻擊，我不認為消費者和組織在轉移到行動設備時，已經準備好來面對這些攻擊。」

手機裝了這個惡意apk, 被綁架，會出現以下完全空白的畫面或是警察單位的警告信