勒索病毒/勒索軟體 - 資安趨勢部落格

偷資料木馬變身勒索軟體

2014 年 05 月 16 日2014 年 05 月 10 日趨勢科技 TrendMicro

今年開始不久，趨勢科技注意到一個舊惡意軟體家族TSPY_USTEAL再度出現。這資料竊取惡意軟體現在加入了新功能，包括了惡意加殼（Packer）、加花（Obfuscation）以及加入勒索軟體 Ransomware。

TSPY_USTEAL變種早在2009年就開始出現，以會竊取敏感資料著稱，像是電腦詳細資訊和儲存在瀏覽器內的密碼。它可以作為植入程式，將它資源區段內的外掛程式或二進位檔案植入受害系統。偷來的資訊會儲存在一加密的.bin檔案，透過FTP上傳到C＆C伺服器。這是以前變種的部分行為，新版本中也繼續保有。

我們最新所偵測到的變種是TSPY_USTEAL.USRJ，它會植入勒索軟體 Ransomware（偵測為TROJ_RANSOM.SMAR）到受害系統上。這些勒索軟體是由一新工具包產生器所生成，讓攻擊者可以完全控制勒索軟體 Ransomware的行為，包括它所加密的檔案類型到顯示的勒贖說明。

我們將這工具包偵測為TROJ_TOOLKIT.WRN。下面是譯自俄文的英文功能說明。包括加密的檔案類型、勒贖說明、附加到加密檔案的副檔名以及所植入編碼程式的名稱。

圖一、勒索工具包的英文說明

勒索軟體 – TROJ_RANSOM.SMAR會將自身副本植入到使用者電腦中。然後用相同圖示和副檔名來加密特定檔案。例如，它可以將副檔名.EnCiPhErEd加到選定的檔案格式，像是.LNK，.ZIP等，就像是記號一般。它接著會植入一內含勒贖細節的圖檔。

圖二、勒贖說明繼續閱讀

向錢看!金融惡意軟體:銀行木馬,勒索軟體不斷開發”新市場”

2014 年 04 月 21 日2014 年 04 月 14 日趨勢科技 TrendMicro

作者：趨勢科技全球安全研究副總裁Rik Ferguson

在2013年，所有媒體和資安研究的焦點都放在目標攻擊的狀況，以及有越來越多組織成為這類攻擊的犧牲品。你可能會認為傳統的使用者層級攻擊活動已經開始勢微了。那你就錯了，而且大錯特錯。

網路犯罪分子的目的還是為了要錢，他們不會管是透過針對商業活動的目標攻擊，還是大量散佈的垃圾郵件(SPAM)活動。他們會在任何可以找到的肥沃土地播下金融惡意軟體的種子。

去年銀行惡意軟體入侵電腦將近100萬次,且不斷開發”新市場”

趨勢科技在2013年看到銀行惡意軟體用著自2002年後就未曾見過的成長速度在散播著。趨勢科技在這一年裡攔截銀行木馬入侵使用者的電腦將近100萬次。分開來看，2013年的前三季分別是113,000次到220,000次之間，而在最後一季高達了537,000次。罪犯不僅是增加了攻擊數量，同時也在不斷擴大攻擊範圍。

我們看到在某些國家數量的大幅增加，如日本和巴西躋身到前四名，並且也加入了新的目標，包括澳州、法國和德國。日本一般來說不是會出現大量銀行惡意軟體的國家，但我們在2013年第三季和第四季在那裡看到大量而廣泛的ZeuS攻擊活動。

在開發新「市場」之餘，銀行惡意軟體也在開發新技術。特別是在巴西，趨勢科技看到惡意CPL檔案（微軟Windows的控制面板檔案）數量顯著地在增加，內嵌在RTF文件檔裡，和我們之前比較熟悉的傳統附加為ZIP和RAR檔案來傳遞有所不同。

2013年勒索軟體年成長一倍,平均每季超過兩萬起攻擊

不過這還不是全部的銀行惡意軟體。而且去年還有一個地方有著大量回報，那就是勒索軟體 Ransomware體，特別是Cryptolocker。趨勢科技客戶偵測到的勒索軟體總數跟前年相較起來增加了一倍，每季平均約偵測到22,000起。當你考慮到每名受害者可能要支付高達300美元或等值貨幣以重新取得自己的資料，這顯然成為網路劫匪頗具潛力的收入來源。

Cryptolocker本身就是一種現有勒索軟體 Ransomware的進化，它改善了加密技術，使用更有效的尋找和加密動作。會在本地端將檔案處理的更難解析，Cryptolocker同時也會找到網路硬碟上的檔案加以加密。不再依賴於簡單的共享密碼來解密付贖金的檔案或系統，Cryptolocker使用公鑰加密，加上非常有效的密鑰長度，讓加密過的檔案幾乎不可能回復。這會讓更多受害者願意去交出現金來換回對自己非常重要的數位寶物。這時候就必須要考慮建置有效而定期的備份解決方案，比以往任何時候都更加重要。繼續閱讀

勒索軟體瞄準比特幣!!

2014 年 04 月 09 日2014 年 04 月 09 日趨勢科技 TrendMicro

勒索軟體和比特幣竊盜程式合併成 BitCrypt

CryptoLocker和其他類似的勒索軟體 Ransomware威脅已經是個嚴重問題好一段日子了，但最近我們看到一個新的勒索軟體 Ransomware手法。此一新威脅自稱為BitCrypt，為勒索軟體加入一個獨特的作法：它會從各種電子貨幣錢包內偷錢。

趨勢科技已經確認了此威脅的兩個不同變種。第一個變種 – TROJ_CRIBIT.A，會將任何加密過的檔案加上副檔名「.bitcrypt」，並使用英文勒索信。第二個變種 – TROJ_CRIBIT.B，會加上副檔名「.bitcrypt2」，並使用含中文在內的多國語言的勒索信，包括了以下10種語言；（根據它們出現在信內的順序）：

英文
法文
德文
俄文
義大利文
西班牙文
葡萄牙文
日文
中文
阿拉伯文

勒索信內容如下：

注意！

你的BitCrypt ID：｛交易編號｝

你電腦上所有的必要檔案（照片、文件、資料庫和其他）都透過唯一的RSA-1024金鑰加密。

只有透過一個特殊程式才能解碼你的檔案，而且每個BitCrypt ID都對應一個程式。

來自電腦維修服務和防毒實驗室的專家並無法幫助你。

為了收到這解密程式，你需要遵照此連結｛惡意網站＃1｝和跟隨指示。

如果現有連結無法作用，但是你需要回復檔案，請按指示操作：

嘗試打開連結｛惡意網站＃2｝。如果失敗，繼續執行步驟2。
下載並安裝Tor瀏覽器｛Tor專案網站｝
安裝完成後，啟動Tor瀏覽器，連上下列網址｛惡意網站＃3｝

記住，你越快採取行動，越有機會去完好如初地回復你的檔案。

其他語言的內容都很類似，雖然看起來是用電腦翻譯的。除了上述情況外，TROJ_CRIBIT.B會將桌布變成黑色背景加上白色文字來通知使用者目前狀況。

圖一、桌布

繼續閱讀

透過可移除媒體散播的新CryptoLocker 勒索軟體

2014 年 01 月 06 日2013 年 12 月 30 日趨勢科技 TrendMicro

還記得 2013 年轟動一時的史上最狠毒勒索軟體 CryptoLocker嗎?趨勢科技一隻勒索軟體變種，它有一個明顯的特徵 – 具備散播的行為。經過分析這隻被偵測為WORM_CRILOCK.A的惡意軟體，結果顯示這惡意軟體可以透過可移除媒體散播。此更新被認為值得注意，因為在其他CRILOCK變種並沒有看過這樣的行為。增加散播行為也代表它和其他已知的CRILOCK變種不同，可以很容易地傳播。

除了散播的技術之外，這隻新惡意軟體還有許多和已知CryptoLocker變種不同的地方。並沒有依賴惡意下載程式（通常是UPATRE）來感染系統，該惡意軟體會在P2P檔案分享網站上偽裝成各種軟體的啟動器，像是Adobe的Photoshop和微軟的Office。將惡意軟體上傳到P2P網站可以讓壞人輕易地去感染系統，而無需製造（和發送）垃圾郵件。

進一步分析WORM_CRILOCK之後發現，它和之前的變種有著鮮明的差異。該惡意軟體沒有用網域生成演算法（DGA）。相反地，它的命令與控制（C＆C）伺服器被寫死在惡意軟體裡。寫死的網址讓相關惡意網址更容易被偵測和封鎖。而另一方面，DGA讓網路犯罪分子可以逃避偵測，因為它使用大量潛在網域。這可能代表這隻惡意軟體還處在修改跟改善階段。因此，我們可以預期後期變種有DGA的能力。

這隻特殊的CRILOCK變種和其他變種之間的差異讓一些研究人員認為，該惡意軟體是個山寨產品。不管創造者是誰，WORM_CRILOCK.A顯示這可能成為網路犯罪分子青睞的新攻擊方法。

繼續閱讀

勒索軟體CryptoLocker,攻擊個案翻兩倍

2013 年 11 月 12 日2013 年 11 月 12 日趨勢科技 TrendMicro

過去的幾個星期以來，我們看到 CryptoLocker惡意軟體散播的數量在增加。這種新的勒索軟體 Ransomware在過去幾個禮拜內攻擊了更多的使用者。和九月份相比，十月份可以確認的案例數量已經增加了幾乎兩倍。

CryptoLocker的受害者在不同地區都有出現，包括北美、歐洲、中東和亞太地區。在之前，我們討論了這些威脅是如何透過電子郵件到達。CryptoLocker可以被看作是先前已知威脅（勒索軟體）的進化。這樣的「改進」是趨勢科技在2013年安全預測裡所提過的，網路犯罪分子會將重點放在改進現有的工具，而非創造全新的威脅。

我能做些什麼？

有不同的方法可以讓個人或組織來面對CryptoLocker所帶來的威脅。由於這種威脅開始於垃圾郵件攜帶TROJ_UPATRE（下載器），它想成功就取決於郵件內所使用的社交工程陷阱( Social Engineering)誘餌，以及使用者如何去回應它。

讓我們從簡單的電腦安全實作開始（往往也最常被忽視）。想想看，當開啟帶有附件的郵件時，一般都要：

確認電子郵件的寄件者身分。
如果電子郵件號稱來自銀行，請與你的銀行確認這收到的郵件是否為真。如果來自一般聯絡人，確認他們是否有寄過這郵件。不要僅僅依賴於信任關係，因為你的朋友或家人也可能是垃圾郵件(SPAM)的受害者。
仔細檢查郵件內容是否有與事實不符的地方。
注意是否有明顯錯誤或和事實不符的地方：來自銀行或朋友的郵件聲稱他們有收到你的東西？試著找找你最近寄送的郵件來確認他們所說的事情。這樣的垃圾郵件也可能使用其他社交工程陷阱( Social Engineering)誘餌來說服使用者打開該郵件。
避免點入電子郵件中的連結。
在一般情況下，避免點入電子郵件中的連結。比較安全的做法是直接連到電子郵件內所提到的網站。如果你必須點入電子郵件裡的連結，確保你的瀏覽器透過網頁信譽評比技術檢查過該連結，或使用像趨勢科技Site Safety Center的免費服務。
確保你的軟體都在最新狀態。
目前沒有已知的CryptoLocker勒索軟體 Ransomware利用漏洞進行散播，但不能保證未來也不會。而且定期更新已安裝的軟體可以對許多攻擊提供另外一層的防護。
備份重要資料。
不幸的是，沒有任何已知工具可以解密被CryptoLocker加密的檔案。一種好的電腦安全實作是，確保你有正確的備份檔案。應該要做到3-2-1原則：三份備份、兩種不同的儲存媒體、一個分開獨立的儲存位置。Windows有個功能稱為磁區陰影複製（Volume Shadow Copy），可以讓你將檔案回復到之前的狀態，它是預設開啟的。雲端儲存服務（如SafeSync）也可以做為你備份策略內有效的一部分。