TorrentLocker 勒索病毒,利用Dropbox來躲避偵測/裝萌的勒索訊息,使用Python程式語言

 

一隻名為TorrentLocker勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測,雖然該勒索病毒的行為跟之前並沒有太大不同,但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程(social engineering )技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案(實際上是勒索病毒檔案)。

 

 

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意,在二月底出現了PyL33t(趨勢科技偵測為Ransom_PYLEET.A)和Pickles(趨勢科技偵測為Ransom_CRYPPYT.A)。

網路文化對PyL33t勒索病毒產生了重大影響,像是其勒贖通知使用Comics Sans這種似手寫的字體字體,使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上,它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

 

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦,它會加密檔案並用.EnCrYpTeD副檔名重新命名,將桌面改成上述訊息,並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知,內文要求1比特幣的昂貴贖金(約1,200美元)。解密程式也跟勒索病毒一起植入電腦;但想解密檔案需要密碼。

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Unix:會徹底改變勒索病毒遊戲規則嗎?

 

2016年是勒索病毒Ransomware(勒索軟體/綁架病毒)肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體,緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族,這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入,進而多樣化和擴展他們的平台、能力和技術,找到更多的目標。

的確,我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上,然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder(趨勢科技偵測為ELF_CRYPTOR家族)據報是第一個針對Linux系統的勒索病毒;它的目標是Linux網頁代管系統,會攻擊外掛程式或軟體(如Magento)的漏洞。而在Mac OS X系統上則有KeRanger(OSX_KERANGER),出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中,偽裝成RTF格式文件。

它們的共同點?都是Unix:多使用者、帶有命令行的作業系統,具備統一的檔案系統和簡單而強大的工具,如shell和命令列語言,可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好,包括Linux和Mac OS X.

圖1、Linux.Encoder(上方)和KeRanger(下方)加密程式庫的相似性;都使用ARM mbed TLS,它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder(左)和KeRanger(右)的函數名稱相似性,可能表示惡意軟體重寫;函數邏輯重複出現在兩個樣本上

 

Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統,但它們抵達的載體大多跟使用者無關,這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper(一個強制要求程式碼簽章和驗證下載軟體的安全功能)。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看,可以推測KeRangerLinux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰,而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger,具備一個未使用的功能能夠加密/刪除OS X的Time Machine(Mac電腦的備份工具)。Linux.Encoder透過開放原始碼勒索病毒專案而誕生,開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅,而它的第三版在全球感染了600台伺服器Continue reading “Unix:會徹底改變勒索病毒遊戲規則嗎?"

五大行動裝置勒索病毒家族,成長率屢創新高

行動裝置勒索病毒在 2016 年大爆發,光我們 2016 年第四季所蒐集分析的樣本數量就是 2015 年同期的三倍。但儘管數量驚人,這些惡意程式的犯罪模式卻大同小異:濫用、誘騙、恐嚇、勒索。其中絕大部分都是濫用 Android 作業系統功能的螢幕鎖定程式,以及運用社交工程(social engineering )技巧的偽系統更新、偽熱門遊戲與色情內容。這些程式會誘騙不知情使用者提供系統權限,進而修改裝置鎖定畫面的密碼,讓使用者無法將它解除安裝。            

圖 3:行動裝置勒索病毒樣本數量比較 (2015 年與 2016 年)。

根據f趨勢科技的偵測和分析, 行動勒索病毒大致可歸納出下列五大家族:

  1. SMSLocker (ANDROIDOS_SMSLOCKER)Svpeng (ANDROIDOS_SVPENG)
    SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備
  2. Svpeng
    SMSLocker (SLocker 其中一代) 和 Svpeng 則是專門假冒網路銀行程式的木馬程式,歹徒會經由幕後操縱 (C&C) 指令來將裝置鎖住並勒索贖金。
    2016 年最受矚目的Svpeng (銀行木馬程式與勒索病毒的合體),在我們所發現的銀行木馬感染與攻擊案例當中,約有 67% 都是 Svpeng。
    2016 年 9 月是 Svpeng 出現的高峰期,偵測數量高達 80,000 以上。Svpeng 會竊取手機上的簡訊、通訊錄、通話記錄以及瀏覽器歷程記錄,同時還會利用網路釣魚手法騙取使用者的信用卡資料,並且會鎖定裝置畫面,然後勒索贖金。由於 Svpeng 主要以俄羅斯的銀行為目標,因此受害最深的自然是俄文的使用者,尤以俄羅斯、烏克蘭和羅馬尼亞最為嚴重。
  3. FLocker/Frantic Locker (ANDROIDOS_FLOCKER)
    FLocker 在 2016 年第一季末首度現身,能跨界感染智慧型電視,並於 2016 年不斷肆虐日本,該地在四月份所偵測到的 FLocker 樣本數量超過 32,000 個以上。
  4. SLocker/Simple Locker (ANDROIDOS_SLOCKER)
    2016 年 8 月,某個 SLocker 變種 (AndroidOS_Slocker.AXBDA) 在印尼大量散布,該國在這段期間出現了大量的假音樂視訊播放程式。
  5. Koler (ANDROIDOS_KOLER)
    SLocker 和 Koler 已知會假冒司法機關,宣稱受害者觸犯了某種法律,藉此脅迫他們支付一筆贖金。

 

Continue reading “五大行動裝置勒索病毒家族,成長率屢創新高"

備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?

2016 年,趨勢科技與 ISMG 合作,針對金融、醫療與政府機構進行了一項問卷調查,以期更了解他們在勒索病毒方面所面臨的挑戰。調查的結果有些令我們訝異,有些則和我們在 2016 一整年看到的情況大致相符。

大多數網路犯罪集團都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒

我們都知道,勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為今日企業的一大頭痛問題,而 2016 年當中也出現了多起重大案例。根據趨勢科技發現,新勒索病毒家族的數量較去年成長了 748% ( 2015 年僅 29 個,2016 年竄升至 246 個),顯然這項犯罪手法在網路犯罪集團之間已掀起一股旋風。絕大多數網路犯罪集團現在都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒。可知勒索病毒已成為企業機構的一大威脅,也因此我們才想進一步了解這項威脅對企業機構和政府機關有何影響。讓我們一起來看看這項調查發現了什麼。

超過 53% 的企業機關都曾經成為勒索病毒的受害者;有 15% 的受訪者不曉得自己是否曾經受害

首先,過去一年當中有超過 53% 的企業機關都曾經成為勒索病毒的受害者。此外我們也發現,有 15% 的受訪者不曉得自己是否曾經受害。若依產業來看,我們發現金融業的防護似乎做得較好,因為金融業只有 33% 曾經受害,但政府機關則有 67% 曾經受害。這一點在我們的意料之內,因為金融機構在資安上的支出通常大於政府機關。有 75% 的受訪者表示,勒索病毒攻擊在過去一年似乎稍微或大幅增加,這與我們的研究結果以及我們在客戶端看到的情況一致,讓我們更確定犯罪集團現在比以往更常利用這項威脅。

大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%

其次一項特別引起我們注意的是受訪者遭受攻擊的次數。調查顯示,大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%。這突顯出一項眾多企業所面臨的重大挑戰:企業必須成功偵測並攔截每一次的攻擊,但歹徒卻只需成功一次就能得逞。另一項企業所面臨的威脅:針對性攻擊,也是同樣情況。我們現在越來越常看到歹徒在日常攻擊行動當中採用類似的手法。 Continue reading “備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?"

勒索病毒成犯罪新手金雞母,竟是有現成工具!

假使勒索病毒一直能為歹徒帶來高達十億美元 的獲利,那他們有何理由收手?

十億美元!這就是為何歹徒一直積極投入這類犯罪,而且這類犯罪的成本還在持續降低,因為地下市場上充斥了各種必要的犯罪工具供歹徒購買或租用。

有了這些現成的工具,就算沒有技術背景的人也能發動這類攻擊。無需特殊技能、低風險、高報酬:這根本就是歹徒夢寐以求的"夢幻組合"。

勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 。這項服務給那些無須擁有進階技術、知識或經驗的"客戶",讓他們可以根據自己的需求來進行設定。

勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。 Encryptor RaaS對它的”事業夥伴喊話:”只要會設定比特幣錢包ID,不需技術能力

勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

有個叫做「Stampado」的勒索病毒 Ransomware在深層網路 (Deep Web) 上主打只要 39 美元的價格便提供「終身授權」。網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(「勒索病毒即服務」(Ransomware as a Service,簡稱 RaaS))。

追劇變悲劇! Cerber 把檔案當肉票

趨勢科技發現某些 Cerber 變種會在受害者點擊播放影片後,跳出視窗導到漏洞攻擊套件的伺服器,然後下載 Cerber勒索病毒。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

這並不是個案,無獨有偶的是也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。

 

論壇傳出「勒索病毒」大量災情。(圖擷取自PTT)

 


PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 


勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是2016年7月就賺進近20萬美元。

Continue reading “勒索病毒成犯罪新手金雞母,竟是有現成工具!"

企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南

面對勒索病毒 Ransomware (勒索軟體/綁架病毒)的威脅,至今仍沒有一勞永逸或一體適用的解決方案。不過,勒索病毒從單純地造成使用者困擾蓬勃發展成一種犯罪事業的這十年間,資安產業也開發出更好的方法來阻止勒索病毒繼續囂張下去。

2016年,勒索病毒不僅突然崛起,其攻擊目標也開始從家庭使用者轉向各種產業。以下是一些有助您企業有效防範勒索病毒的重要原則。

Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)
Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)

架起護盾:防範勒索病毒進入系統
面對任何形態的網路威脅都一樣,防範入侵點絕對是一項關鍵,以下是一些有助於防範勒索病毒感染整個企業網路的資安措施:

  • 定期備份重要資料。網路犯罪集團善於利用人們害怕失去重要檔案及文件的心理來迫使受害者支付贖金。因此,只要定期備份重要檔案就能將傷害降至最低,歹徒就無從要脅。此外,良好的備份策略,還可確保所有重要資料都存放在安全的地點,萬一企業發生資料損毀,就能輕鬆復原。請遵守3-2-1 原則來備份檔案:3 份備份、2 種儲存媒體、1 個不同的存放地點。某些惡意程式變種會試圖搜尋網路共用磁碟上的備份資料,因此,將一份備份資料存放在另一個地點非常重要,例如某台未連上公司網路的電腦。
  • 在端點裝置上建立應用程式白名單來防止所有未知及不當的應用程式執行。藉由行為監控和應用程式控管,就算歹徒試圖入侵系統,企業依然能夠維持安全。行為監控有助於掌握系統是否出現「異常」或不尋常的行為,而應用程式控管則能限制系統上只可執行一些非惡意的檔案和執行程序。IT 系統管理員可藉此控管企業網路內可執行的應用程式。
  • 擬定一套以資安為考量的網路分割方案。將資產和資源做策略性的分組,好讓 IT 系統管理員清楚掌握資料的流向,以及可允許存取的對象。適當地切割網路,可避免駭客癱瘓整個網路。確切掌握網路上有哪些使用者,以及他們所存取的資源,並適當加以分類。若能進一步切割使用者權限,並且適當讓網路流量分流,就能為企業最重要的資料帶來多一分的保障。依據各個部門或各個團隊的需求來分割網路,能限縮駭客可存取的資源,有效限制感染範圍。僅開放最低必要的存取權限給使用者,這樣一來歹徒就更難取得系統管理員權限。
  • 教育使用者有關社交工程(social engineering )攻擊的跡象和危險性。教導使用者養成安全的電子郵件與網路使用習慣,例如,唯有來自信任對象的附件檔案、網址或程式才能打開或執行。此外,鼓勵使用者在遇到可疑的電子郵件和檔案時務必向資安團隊通報,這也同樣重要。
  • 隨時套用作業系統和應用程式廠商釋出的軟體修補。應用程式和伺服器若含有未修補的漏洞,就經常會成為駭客的入侵點,讓歹徒有機可乘,將勒索病毒植入系統。要避免這種情況,軟體就必須定期更新和修補。仔細檢視一下您現有的修補流程,將所有可能妨礙軟體適時修補與更新的障礙排除。此外,虛擬修補技術可以保護含有漏洞的伺服器,就算必要的軟體修補尚且無法套用至所有伺服器和端點也能防範勒索病毒入侵。
  • 確定您的資安產品隨時保持更新,並定期執行掃瞄。不論您的企業網路建置了多少安全防護,駭客只需要找到一個缺口就能入侵。務必確定您所建置的資安解決方案都隨時保持更新,因為,久未更新的軟體等於是為駭客敞開大門。

止血:損害控制

從使用者不小心點選到某個惡意連結或下載某個有毒的檔案,到電腦畫面上出現勒索訊息,過程可能只有幾分鐘。然而,這段時間卻發現並防止勒索病毒疫情爆發以盡可能降低損害的黃金時期。以下是您該注意的一些資安要點: Continue reading “企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南"

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。

⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。

Continue reading “攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅"

Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!

最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber勒索病毒, 趨勢科技也發現,十月以來有數個漏洞攻擊套件大量散播新變種 Cerber4.0。趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告(比如某服飾網站,或是如下文的賭場廣告)進行攻擊,而且衍生出變種。

感染案件遽增的原因是駭客透過惡意廣告發動攻擊
所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在FaceBook上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況。 

兩個重要提醒:

提醒用戶除了"三不三要"之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等
2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能。
就算使用者已被訓練成對執行檔或壓縮檔保持警戒,也很可能不小心開啟 Word 附件檔案,尤其是一封封量身訂做的社交工程信件,比如針對人事部門的假冒應徵者履歷表。提醒您若收到這類信件或附檔.請不要任意開啟巨集以避免中毒。

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(「勒索病毒即服務」(Ransomware as a Service,簡稱 RaaS))。
▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

趨勢科技發現某些 Cerber 變種會在受害者點擊播放影片後,跳出視窗導到漏洞攻擊套件的伺服器,然後下載 Cerber勒索病毒。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

這並不是個案,無獨有偶的是也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。

 

論壇傳出「勒索病毒」大量災情。(圖擷取自PTT)

▍延伸閱讀 ▍
Cerber勒索病毒利用雲端平台,感染家庭用戶和企業


PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Windows10Banner-540x90v5


Continue reading “Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!"

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信; TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時? 

 

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外,了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層(exposure layer)加以阻止 – 網頁和電子郵件,事實上,從2016年1月到5月,趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器,因為其有利可圖;僅在過去的六個月,就有超過50個新家族出現,而2014到2015年加起來也只有49個。在最近幾年,讓勒索病毒成功的一個重要因素是其勒索的技巧,主要是利用目標對失去自己電腦掌控的恐懼,網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告,到實際去動到資料。

 

許多關於勒索病毒 Ransomware 討論集中在檔案部分,但往往忽略了散播機制,主要是因為沒有創新性,勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略,雖然簡單,但這些策略大多會讓使用者不易察覺,且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中,我們會仔細檢視勒索病毒常用的攻擊媒介,以及我們如何在它們抵達之前減少其造成的風險。

並不創新的垃圾郵件做法:社交工程

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下,勒索病毒相關的垃圾郵件包含惡意附件檔,可能是巨集、JavaScript等形式,這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker,它有惡意附件檔(通常是UPATRE變種)會下載ZeuS / ZBOT,這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集,一種用來繞過沙箱技術的老策略,會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統,在這裡,社交工程social engineering誘餌和對人心的了解起了關鍵的作用。 Continue reading “勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?"

勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情!透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招!

近期 RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及常在 Facebook 臉書上被分享的一些內容農場網站文章之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。

勒索病毒簡介
勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種特殊的惡意軟體,受害者會失去對自己系統或資料的控制權(例如無法使用作業系統或是檔案被加密),如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒:將電腦裡的檔案加密,並且要求支付贖金。

感染勒索病毒後果
目前最流行的勒索病毒種類為加密型勒索病毒:將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話,遭到加密的檔案幾乎沒有辦法解密。
近來的一種勒索病毒還會限制付款時間,隨著螢幕上的紅色倒數計時,時間過越久就刪除越多檔案,贖金金額也會跟著提高,增加受害的的心理負擔。(詳情可參考:奪魂鋸勒索軟體JIGSAW

勒索軟體 petya_ransomware

 

近期感染勒索病毒(RANSOM_Waltrix or CryptXXX)災情嚴重主因 :惡意廣告
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少,遭受攻擊的軟體種類必會愈來愈多防不勝防,因此趨勢科技提醒您,請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

這篇報導:網頁廣告成勒索軟體散播溫床,紐約時報、BBC、MSN 皆中招,文中指出”攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索軟體 Ransomware

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報Google赫芬頓郵報等數不清的例子。

使用者經常會看到一些眼花撩亂 (甚至令人討厭) 的廣告,尤其當您必須先關閉這些廣告才能看到您要的影片或文章時,更覺得困擾。但這些網路廣告卻不光只是惱人而已,網路犯罪集團會經由這類廣告來散布惡意程式,進而感染瀏覽器和電腦。這就是所謂的「惡意廣告」,它們專門利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

Continue reading “勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情!透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招!"