小心假 WannaCry(想哭)勒索病毒趁火打劫 !跳出中毒視窗,撥打技術支援電話,12500元台幣飛了!

小心假 WannaCry(想哭)勒索病毒/勒索蠕蟲趁火打劫 !英國警方接獲通報一名用戶在上網時電腦忽然跳出感染 WannaCry 勒索病毒警告視窗,且無法關閉。受害者不疑有他撥打電話視窗上假冒微軟技術支援的電話,並被騙取320英鎊(約12500元台幣)安裝「惡意軟體移除工具」。
這並不是第一起利用 WannaCry趁火打劫的案例,英國警方也在之前發出 WannaCry詐騙警告,提醒用戶別開啟聲稱來自英國電信的強化用戶帳號安全性的郵件,該網路釣魚信附上假的WannaCry清除工具連結,誘使用戶付費下載。

這就是所謂的技術支援詐騙,歹徒以「假裝提供協助」的方式來誘騙受害者。這類詐騙會佯稱受害者的電腦遭駭客入侵,並主動提供服務來協助受害者解決問題。通常都是假裝成大公司,如微軟的技術支援人員,並向受害者索取信用卡卡號與個人資訊。根據一個詐騙案例的受害者描述,他的畫面被鎖住而不能動。不僅瀏覽器畫面遭到凍結,鍵盤也失效,受害者必須撥打畫面上顯示的電話號碼。當受害者撥電話過去,詐騙者就會親切地提供支援來協助您解決這個問題,但會向受害者索取信用卡卡號與個人資訊。

類似這樣的事件時有所聞,之前有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。類似的案例還有:

保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

 

 

                    PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!

 

 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:

 

同場加映:防範技術支援詐騙 5 秘訣

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣:

  1. 請記住,真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此,小心那些不請自來的電話。假若您必須聯絡技術支援人員,請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
  2. 若您的螢幕已經被鎖住,然後畫面出現一個惡意廣告,千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面,請聯絡您的 IT 部門。
  3. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦,請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事,而非接電話的第一線人員。
  4. 若您已經上當,請盡快採取行動。若您已經把信用卡資料給了對方,請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取,請馬上變更您的電腦登入密碼。
  5. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝,切記隨時保持防毒軟體更新。唯有保持更新,才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

《延伸閱讀》
Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招

WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差

經歷了所有這一切的恐慌,WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗,為何它如此成功,以及該做什麼來防止它再次發生。而一個令人無法想到的事實是,許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款,如果相同的事情是發生在一年之後。

沒錯,歐盟一般資料保護法規(General Data Protection Regulation,簡稱 GDPR)即將來臨,為企業帶來全新的緊迫性,意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。

資料外洩或勒索病毒?

猛一看,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟,WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。

第4.12條規定: Continue reading “WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差”

【重大病毒警訊 】WannaCry/Wcry勒索病毒疫發不可收拾,企業預防史上第一勒索蠕蟲的七個方法

一波前所未有的勒索病毒12日起陸續席捲了全球各產業的組織。罪魁禍首就是「WannaCry/WCry(想哭) 勒索病毒」(趨勢科技偵測為RANSOM_WANA.ARANSOM_WCRY.I)。WannaCry/WCry在短期內成為擴散最廣的勒索病毒,影響了全球各地眾多的組織,一些受影響企業不得不將IT基礎設施離線,醫療產業的受害者面臨了運作延誤,被迫將病患轉院直到可以正常運作。

台灣、中東、日本和數個亞太地區(APAC)國家也都顯示出大量的感染。WannaCry 勒索病毒感染影響了各個產業,包括了醫療保健、製造業、能源(石油和天然氣)、科技、食品和飲料、教育、媒體和通訊以及政府。

趨勢科技從 WannaCry在2017年四月出現以來就一直在追蹤它。趨勢科技的採用 XGen安全防護能夠透過行為分析和高保真機器學習等技術來保護使用者對抗此次攻擊或其他威脅。以下是使用者和企業需要對這一波大規模擴散威脅的了解,以及該如何來加以防禦。

 

防範勒索病毒 WannaCry/Wcry,主動防禦是王道
防範勒索病毒 WannaCry/Wcry,主動防禦是王道

 

發生了什麼事?

首先是歐洲的數家企業回報了自己的重要 Windows系統被鎖住並顯示了勒贖通知。接著全球各地都迅速傳出災情,外電報導有近百國傳出疫情,台灣也被外電列為重災區。

Continue reading “【重大病毒警訊 】WannaCry/Wcry勒索病毒疫發不可收拾,企業預防史上第一勒索蠕蟲的七個方法”

“Adobe Flash 版本太舊需要更新?”按下後卻中了勒索病毒►遠離6 種更新通知陷阱

最近有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。本文要告訴你有哪些更新通知,其實暗藏陷阱,尤其是勒索病毒,畢竟電腦可以重灌,那些年的照片卻無法重拍……

CryptXXX 勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀,所以大型網站比較安全嗎?報導指出攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索病毒。

英國獨立報紙 The Independent 網站曾因遭到入侵,使得瀏覽其網站的使用者都被重導到專門感染 Angler 漏洞攻擊套件的網站。此時,使用者電腦上的 Adobe Flash Player 若非最新版本,其電腦就會被植入 TeslaCrypt 勒索病毒。類似 Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散播, 類似這樣的事件時有所聞,保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

.

Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招

上網正開心突然跳出警告訊息,你會怎麼辦?猜猜看以下有哪些是駭客裝神弄鬼的詐騙伎倆:

  1. □出現黑畫面,跳出電腦中毒警告訊息
  2. □出現亂碼,跳出”找不到字形”對話框;警告必須立即升級
  3. □ 跳出”Windows 或 Adobe Flash 更新通知”對話框
  4. □ 出現訊息:「Windows 出現重大問題。千萬別重新開機。立刻跟我們聯絡!」
  5. □手機跳出「你感染病毒導致電池損壞」
  6. □「恭喜!!!你是今天的幸運用戶,能獲得一台蘋果iPhone…」

上述有些是假防毒軟體 (FakeAV),有兩個是勒索病毒 Ransomware (勒索軟體/綁架病毒),有一個所謂的技術支援詐騙,一個惡意廣告,還有一個騙個資的網路釣魚。以下列出這幾個案例的相關報導摘要與防治之到:

進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。
進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。

 

當機與重新開機假畫面其實是螢幕保護程式
當機與重新開機假畫面其實是螢幕保護程式

其實這招勒索病毒也常用,而且還會搬出警察大人嚇唬大家:警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金,另一個案例是警方:你因觸犯法規電腦遭鎖定,必須支付罰款才能解除鎖定

佯稱請使用者更新 Chrome 字型套件的彈出視窗
佯稱請使用者更新 Chrome 字型套件的彈出視窗

《延伸閱讀》收到 Facebook訊息的 Adobe Flash更新影片,請當心是詐騙!!

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

  • 手電筒應用程式顯示:”你感染病毒導致電池損壞”是惡意廣告

    並非所有 Android 手機的作業系統都內建手電筒功能。有時候,使用者必須自行下載手電筒程式到手機上才能擁有此功能。但這類應用程式經常含有廣告,並且會不斷更新。根據趨勢科技研究團隊發現,去年 Google Play商店上出現一個會顯示惡意廣告的手電筒程式,不僅為使用者帶來困擾,更會欺騙使用者說他們的手機感染了病毒。且該程式的下載畫面上可看到已累積了6百萬人次下載,影響者眾。

應用程式執行時顯示的警告視窗

應用程式執行時顯示的警告視窗

某個遭到感染的網站所顯示的假警告訊息。
某個遭到感染的網站所顯示的假警告訊息。

 

 

詐騙步驟:

STEP1:瀏覽網頁時,跳出以「問卷調查」為名的彈跳式視窗

STEP2:只要協助回答幾個簡單問題,有機會得到iphone手機

STEP3:問卷最後要求填寫個人資料以進行抽獎,填入Email資料後會自動發送一封確認信,還會給你一組抽獎序號,讓你可以繼續幫忙推廣,甚至宣稱推薦更多人中獎率越高。

STEP4:這類網站用意是獲得民眾個資後再轉賣,民眾陸續可能會接到一些廣告、行銷、詐騙等電話

遇到彈出警告視窗該怎麼辦?

上網時.若瀏覽網頁突然跳出奇怪的視窗或畫面,無論是恐嚇中毒或是恭喜你得獎,請先不要過於驚慌/驚喜。趨勢科技資深技術顧問簡勝財建議: 「馬上將網頁或瀏覽器關閉!千萬不要亂點奇怪的連結或按鈕。若真的不小心點了,若出現要安裝某某軟體,或是要輸入帳號密碼等個人資訊。請直接關不要安裝或輸入個資。 部分勒索病毒會利用軟體漏洞進行攻擊。因此建議要定期更新軟體修補程式或更新程式,除此之外最好的防護是透過防毒軟體協助攔阻這類攻擊事件。」

6 招防範技術支援詐騙

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣:

  1. 防範技術支援詐騙最有效的辦法就是熟知其常用的攻擊伎倆
  2. 請記住,真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此,小心那些不請自來的電話。假若您必須聯絡技術支援人員,請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
  3. 若您的螢幕已經被鎖住,然後畫面出現一個惡意廣告,千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面,請聯絡您的 IT 部門。
  4. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦,請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事,而非接電話的第一線人員。
  5. 若您已經上當,請盡快採取行動。若您已經把信用卡資料給了對方,請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取,請馬上變更您的電腦登入密碼。
  6. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝,切記隨時保持防毒軟體更新。唯有保持更新,才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

 

Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?

沙盒模擬分析經常是傳統端點防護與網路防護的最後一道防線。所謂沙盒模擬分析正如其名所言,就是讓惡意程式或可疑檔案在虛擬化的控制環境當中毫無顧忌地執行,然後分析其行為,藉此判斷檔案是否安全。此方法有助於確保端點安全,將不信任的檔案隔離,以免對系統造成損害,甚至危害企業基礎架構。

然而,如果惡意程式找到了可以避開沙盒模擬分析的方法呢?如果惡意程式可以知道自己正在沙盒模擬環境當中執行呢?如果惡意程式刻意隱藏自己的惡意行為,讓沙盒模擬環境看不出來呢?

以下探討當前一些知名的惡意程式,看看它們如何騙過傳統資安防護、如何在系統上暢行無阻,以及新的「進階」沙盒模擬分析技巧如何解決這些問題。

不怕沙盒模擬分析技巧的知名惡意程式

Locky  勒索病毒家族  (趨勢科技命名為:RANSOM_LOCKY) 是最經典的範例,它最著名的就是能夠利用多種方法來感染系統,包括: 加密的 DLL、 Windows 腳本檔以及社交工程 垃圾郵件附件檔案  (暗藏惡意巨集的文件檔、.RAR 壓縮檔,以及JavaScript 和 VBScript 腳本),或者利用漏洞攻擊套件  (例如之前收錄了 Flash 零時差漏洞的某個攻擊套件)。

Locky 在 2016 年因為使用了系統核心漏洞攻擊套件而備受矚目。其攻擊程序使用了一個木馬程式 (TROJ_LOCKY.DLDRA) 來當作檔案下載工具,該木馬程式會利用一個本機權限升級漏洞 (CVE-2015-1701:早在 2015 年 5 月 12 日即已修補),偽裝成一個系統執行程序來騙過沙盒模擬分析。藉由系統核心漏洞,駭客就能透過系統核心機制 (如:工作項目、系統執行緒、非同步程序呼叫) 來連線至幕後操縱 (C&C) 伺服器並下載勒索病毒。所以,駭客不需在系統上產生檔案就能讓系統感染惡意程式。此技巧通常會配合當年 Magnitude 漏洞攻擊套件所收錄的某個零時差漏洞  (CVE-2016-1019:2016 年 4 月 5 日已修補)。

最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案,內含偵測虛擬機器和執行環境的程式碼。KeRanger (OSX_KERANGER) 是一個暗藏在檔案分享軟體與惡意 Mach-O 檔案的 Mac 平台勒索病毒,可在被感染的系統上蟄伏三天之後再開始加密系統上的檔案。

Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年,通常出現在針對性攻擊當中,主要攻擊對象為中東地區知名機構。它會將系統主開機磁區 (MBR) 清除,讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時,開始多了一個反制沙盒模擬分析環境的技巧,感染當下不會出現惡意行為,而是設定了一個定時炸彈在特定日期和時間觸發,此時才會在系統上植入惡意元件。

無檔案式惡意程式如何避開沙盒模擬分析?

對於無檔案式攻擊來說,元件越少越好。因為這類攻擊一般並無實際的檔案,也不會下載檔案到受害電腦或寫入硬碟,惡意程式通常直接在系統記憶體中執行。對駭客來說,沒有實體可分析的檔案就不會留下太多痕跡,有助於反制傳統的沙盒模擬分析。 Continue reading “Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?”

French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

近期勒索病毒:更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器,時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

圖 1:FrenchLocker 的勒索訊息畫面。
圖 1:FrenchLocker 的勒索訊息畫面。

Continue reading “French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本”

勒索病毒跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

< 近期勒索病毒回顧 >教學用開放原始碼勒索病毒,被網路犯罪集團用於不法用途

 前期勒索病毒回顧當中談到了一些新的 HiddenTear 勒索病毒變種,例如 Enjey Crypter (趨勢科技命名為 RANSOM_HiddenTearEnjey.A),該病毒是從 EDA2 勒索病毒衍生而來。與 HiddenTear 一起開發的 EDA2 原本也是教學用開放原始碼勒索病毒,但後來被網路犯罪集團用於不法用途。

本次發現的許多變種都是從 HiddenTear 勒索病毒小幅修改而來。下文介紹兩隻:

GC47 (Ransom_HiddenTearGCFS.A):顯示假的 Windows 升級視窗,被加密檔案副檔名還改為髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 這隻勒索病毒會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。一旦使用者點選了「ok」按鈕,就會開始執行加密程序。被加密的檔案包括文件、多媒體檔、影像檔等等,並且檔名末端會多了「.Fxck_You」副檔名。歹徒在勒索訊息當中要求支付 50 美元的檔案解鎖費用 (約 0.04 比特幣)。 Continue reading “勒索病毒跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話”

TorrentLocker 勒索病毒,利用雲端服務來躲避偵測/裝萌的勒索訊息,使用Python程式語言

 

一隻名為TorrentLocker勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測,雖然該勒索病毒的行為跟之前並沒有太大不同,但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程(social engineering )技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案(實際上是勒索病毒檔案)。

 

 

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意,在二月底出現了PyL33t(趨勢科技偵測為Ransom_PYLEET.A)和Pickles(趨勢科技偵測為Ransom_CRYPPYT.A)。

網路文化對PyL33t勒索病毒產生了重大影響,像是其勒贖通知使用Comics Sans這種似手寫的字體字體,使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上,它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

 

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦,它會加密檔案並用.EnCrYpTeD副檔名重新命名,將桌面改成上述訊息,並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知,內文要求1比特幣的昂貴贖金(約1,200美元)。解密程式也跟勒索病毒一起植入電腦;但想解密檔案需要密碼。

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Unix:會徹底改變勒索病毒遊戲規則嗎?

 

2016年是勒索病毒Ransomware(勒索軟體/綁架病毒)肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體,緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族,這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入,進而多樣化和擴展他們的平台、能力和技術,找到更多的目標。

的確,我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上,然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder(趨勢科技偵測為ELF_CRYPTOR家族)據報是第一個針對Linux系統的勒索病毒;它的目標是Linux網頁代管系統,會攻擊外掛程式或軟體(如Magento)的漏洞。而在Mac OS X系統上則有KeRanger(OSX_KERANGER),出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中,偽裝成RTF格式文件。

它們的共同點?都是Unix:多使用者、帶有命令行的作業系統,具備統一的檔案系統和簡單而強大的工具,如shell和命令列語言,可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好,包括Linux和Mac OS X.

圖1、Linux.Encoder(上方)和KeRanger(下方)加密程式庫的相似性;都使用ARM mbed TLS,它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder(左)和KeRanger(右)的函數名稱相似性,可能表示惡意軟體重寫;函數邏輯重複出現在兩個樣本上

 

Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統,但它們抵達的載體大多跟使用者無關,這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper(一個強制要求程式碼簽章和驗證下載軟體的安全功能)。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看,可以推測KeRangerLinux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰,而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger,具備一個未使用的功能能夠加密/刪除OS X的Time Machine(Mac電腦的備份工具)。Linux.Encoder透過開放原始碼勒索病毒專案而誕生,開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅,而它的第三版在全球感染了600台伺服器Continue reading “Unix:會徹底改變勒索病毒遊戲規則嗎?”

五大行動裝置勒索病毒家族,成長率屢創新高

行動裝置勒索病毒在 2016 年大爆發,光我們 2016 年第四季所蒐集分析的樣本數量就是 2015 年同期的三倍。但儘管數量驚人,這些惡意程式的犯罪模式卻大同小異:濫用、誘騙、恐嚇、勒索。其中絕大部分都是濫用 Android 作業系統功能的螢幕鎖定程式,以及運用社交工程(social engineering )技巧的偽系統更新、偽熱門遊戲與色情內容。這些程式會誘騙不知情使用者提供系統權限,進而修改裝置鎖定畫面的密碼,讓使用者無法將它解除安裝。            

圖 3:行動裝置勒索病毒樣本數量比較 (2015 年與 2016 年)。

根據f趨勢科技的偵測和分析, 行動勒索病毒大致可歸納出下列五大家族:

  1. SMSLocker (ANDROIDOS_SMSLOCKER)Svpeng (ANDROIDOS_SVPENG)
    SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備
  2. Svpeng
    SMSLocker (SLocker 其中一代) 和 Svpeng 則是專門假冒網路銀行程式的木馬程式,歹徒會經由幕後操縱 (C&C) 指令來將裝置鎖住並勒索贖金。
    2016 年最受矚目的Svpeng (銀行木馬程式與勒索病毒的合體),在我們所發現的銀行木馬感染與攻擊案例當中,約有 67% 都是 Svpeng。
    2016 年 9 月是 Svpeng 出現的高峰期,偵測數量高達 80,000 以上。Svpeng 會竊取手機上的簡訊、通訊錄、通話記錄以及瀏覽器歷程記錄,同時還會利用網路釣魚手法騙取使用者的信用卡資料,並且會鎖定裝置畫面,然後勒索贖金。由於 Svpeng 主要以俄羅斯的銀行為目標,因此受害最深的自然是俄文的使用者,尤以俄羅斯、烏克蘭和羅馬尼亞最為嚴重。
  3. FLocker/Frantic Locker (ANDROIDOS_FLOCKER)
    FLocker 在 2016 年第一季末首度現身,能跨界感染智慧型電視,並於 2016 年不斷肆虐日本,該地在四月份所偵測到的 FLocker 樣本數量超過 32,000 個以上。
  4. SLocker/Simple Locker (ANDROIDOS_SLOCKER)
    2016 年 8 月,某個 SLocker 變種 (AndroidOS_Slocker.AXBDA) 在印尼大量散布,該國在這段期間出現了大量的假音樂視訊播放程式。
  5. Koler (ANDROIDOS_KOLER)
    SLocker 和 Koler 已知會假冒司法機關,宣稱受害者觸犯了某種法律,藉此脅迫他們支付一筆贖金。

 

Continue reading “五大行動裝置勒索病毒家族,成長率屢創新高”