最近有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。本文要告訴你有哪些更新通知,其實暗藏陷阱,尤其是勒索病毒,畢竟電腦可以重灌,那些年的照片卻無法重拍……

CryptXXX 勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀，所以大型網站比較安全嗎？報導指出攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索病毒。

英國獨立報紙 The Independent 網站曾因遭到入侵，使得瀏覽其網站的使用者都被重導到專門感染 Angler 漏洞攻擊套件的網站。此時，使用者電腦上的 Adobe Flash Player 若非最新版本，其電腦就會被植入 TeslaCrypt 勒索病毒。類似 Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散播, 類似這樣的事件時有所聞,保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

.

Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招

上網正開心突然跳出警告訊息,你會怎麼辦?猜猜看以下有哪些是駭客裝神弄鬼的詐騙伎倆:

1. □出現黑畫面,跳出電腦中毒警告訊息
2. □出現亂碼,跳出”找不到字形”對話框;警告必須立即升級
3. □ 跳出”Windows 或 Adobe Flash 更新通知”對話框
4. □ 出現訊息:「Windows 出現重大問題。千萬別重新開機。立刻跟我們聯絡！」
5. □手機跳出「你感染病毒導致電池損壞」
6. □「恭喜!!!你是今天的幸運用戶，能獲得一台蘋果iPhone…」
   

上述有些是假防毒軟體 (FakeAV),有兩個是勒索病毒 Ransomware (勒索軟體/綁架病毒),有一個所謂的技術支援詐騙,一個惡意廣告,還有一個騙個資的網路釣魚。以下列出這幾個案例的相關報導摘要與防治之到:

• 假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)
  

  2013 年刑事局接獲報案得知，新北市王姓女研究生（廿四歲）點擊網路釣魚（Phishing）的連結，隨即出現即時掃毒畫面的方式，緊接呈現掃毒結果，跑出十餘筆病毒資料，詳細記錄被感染的電腦位置。她多次重新開機，不是顯示微軟開機的黑畫面，就是藍底白字的英文說明，指電腦中毒無法正常運作，必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」，結果非但不解毒，反而讓電腦中毒,不僅詐騙刷卡費用，也盜取個人資料。

  編按:其實這些畫面可能是螢幕保護程式,請參考:當機又重開機！原來是流氓軟體利用螢幕保護程式製造恐慌)

 

其實這招勒索病毒也常用,而且還會搬出警察大人嚇唬大家:警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金,另一個案例是警方:你因觸犯法規電腦遭鎖定，必須支付罰款才能解除鎖定

• Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 

•   勒索病毒跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話
  

  之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 另一隻 GC47 (Ransom_HiddenTearGCFS.A)病毒有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。
  最近也有網友反應 ,上網時忽然跳出通知說 Adobe Flash版本太舊需要更新,不疑有它按下後就中了勒索病毒。

《延伸閱讀》收到 Facebook訊息的 Adobe Flash更新影片,請當心是詐騙!!

 

 

• 手電筒應用程式顯示:”你感染病毒導致電池損壞”是惡意廣告
  

  並非所有 Android 手機的作業系統都內建手電筒功能。有時候，使用者必須自行下載手電筒程式到手機上才能擁有此功能。但這類應用程式經常含有廣告，並且會不斷更新。根據趨勢科技研究團隊發現，去年 Google Play商店上出現一個會顯示惡意廣告的手電筒程式，不僅為使用者帶來困擾，更會欺騙使用者說他們的手機感染了病毒。且該程式的下載畫面上可看到已累積了6百萬人次下載，影響者眾。
  

應用程式執行時顯示的警告視窗

• 電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財!
  呼籲受害者立即採取行動，例如：「Windows 出現重大問題,千萬別重新開機,立刻跟我們聯絡！」
  

  
  網路詐騙集團已經學會一件事，給您甜頭比恐嚇您更容易讓您上當。逐漸蔓延的技術支援詐騙，歹徒一改過去的恐嚇伎倆，改以「假裝提供協助」的方式來誘騙受害者。這類詐騙會佯稱受害者的電腦遭駭客入侵，並主動提供服務來協助受害者解決問題。通常都是假裝成大公司,如微軟的技術支援人員，並向受害者索取信用卡卡號與個人資訊。根據一個詐騙案例的受害者描述，他的畫面被鎖住而不能動。不僅瀏覽器畫面遭到凍結，鍵盤也失效，受害者必須撥打畫面上顯示的電話號碼。當受害者撥電話過去，這個自稱為 SupportBuddy 的公司就會親切地提供支援來協助您解決這個問題，但會向受害者索取信用卡卡號與個人資訊。

 

 

•     填問卷就有機會獲得最新手機?!

詐騙步驟:

STEP1：瀏覽網頁時，跳出以「問卷調查」為名的彈跳式視窗

STEP2：只要協助回答幾個簡單問題，有機會得到iphone手機

STEP3：問卷最後要求填寫個人資料以進行抽獎，填入Email資料後會自動發送一封確認信，還會給你一組抽獎序號，讓你可以繼續幫忙推廣，甚至宣稱推薦更多人中獎率越高。

STEP4：這類網站用意是獲得民眾個資後再轉賣，民眾陸續可能會接到一些廣告、行銷、詐騙等電話

遇到彈出警告視窗該怎麼辦?

上網時.若瀏覽網頁突然跳出奇怪的視窗或畫面，無論是恐嚇中毒或是恭喜你得獎,請先不要過於驚慌/驚喜。趨勢科技資深技術顧問簡勝財建議: 「馬上將網頁或瀏覽器關閉!千萬不要亂點奇怪的連結或按鈕。若真的不小心點了，若出現要安裝某某軟體，或是要輸入帳號密碼等個人資訊。請直接關不要安裝或輸入個資。 部分勒索病毒會利用軟體漏洞進行攻擊。因此建議要定期更新軟體修補程式或更新程式，除此之外最好的防護是透過防毒軟體協助攔阻這類攻擊事件。」

6 招防範技術支援詐騙

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣：

1. 防範技術支援詐騙最有效的辦法就是熟知其常用的攻擊伎倆。
2. 請記住，真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此，小心那些不請自來的電話。假若您必須聯絡技術支援人員，請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
3. 若您的螢幕已經被鎖住，然後畫面出現一個惡意廣告，千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面，請聯絡您的 IT 部門。
4. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦，請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事，而非接電話的第一線人員。
5. 若您已經上當，請盡快採取行動。若您已經把信用卡資料給了對方，請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取，請馬上變更您的電腦登入密碼。
6. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝，切記隨時保持防毒軟體更新。唯有保持更新，才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

 

沙盒模擬分析經常是傳統端點防護與網路防護的最後一道防線。所謂沙盒模擬分析正如其名所言，就是讓惡意程式或可疑檔案在虛擬化的控制環境當中毫無顧忌地執行，然後分析其行為，藉此判斷檔案是否安全。此方法有助於確保端點安全，將不信任的檔案隔離，以免對系統造成損害，甚至危害企業基礎架構。

然而，如果惡意程式找到了可以避開沙盒模擬分析的方法呢？如果惡意程式可以知道自己正在沙盒模擬環境當中執行呢？如果惡意程式刻意隱藏自己的惡意行為，讓沙盒模擬環境看不出來呢？

以下探討當前一些知名的惡意程式，看看它們如何騙過傳統資安防護、如何在系統上暢行無阻，以及新的「進階」沙盒模擬分析技巧如何解決這些問題。

不怕沙盒模擬分析技巧的知名惡意程式

Locky  勒索病毒家族  (趨勢科技命名為：RANSOM_LOCKY) 是最經典的範例，它最著名的就是能夠利用多種方法來感染系統，包括： 加密的 DLL、 Windows 腳本檔以及社交工程 垃圾郵件附件檔案  (暗藏惡意巨集的文件檔、.RAR 壓縮檔，以及JavaScript 和 VBScript 腳本)，或者利用漏洞攻擊套件  (例如之前收錄了 Flash 零時差漏洞的某個攻擊套件)。

Locky 在 2016 年因為使用了系統核心漏洞攻擊套件而備受矚目。其攻擊程序使用了一個木馬程式 (TROJ_LOCKY.DLDRA) 來當作檔案下載工具，該木馬程式會利用一個本機權限升級漏洞 (CVE-2015-1701：早在 2015 年 5 月 12 日即已修補)，偽裝成一個系統執行程序來騙過沙盒模擬分析。藉由系統核心漏洞，駭客就能透過系統核心機制 (如：工作項目、系統執行緒、非同步程序呼叫) 來連線至幕後操縱 (C&C) 伺服器並下載勒索病毒。所以，駭客不需在系統上產生檔案就能讓系統感染惡意程式。此技巧通常會配合當年 Magnitude 漏洞攻擊套件所收錄的某個零時差漏洞  (CVE-2016-1019：2016 年 4 月 5 日已修補)。

最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案，內含偵測虛擬機器和執行環境的程式碼。KeRanger (OSX_KERANGER) 是一個暗藏在檔案分享軟體與惡意 Mach-O 檔案的 Mac 平台勒索病毒，可在被感染的系統上蟄伏三天之後再開始加密系統上的檔案。

Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年，通常出現在針對性攻擊當中，主要攻擊對象為中東地區知名機構。它會將系統主開機磁區 (MBR) 清除，讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時，開始多了一個反制沙盒模擬分析環境的技巧，感染當下不會出現惡意行為，而是設定了一個定時炸彈在特定日期和時間觸發，此時才會在系統上植入惡意元件。

無檔案式惡意程式如何避開沙盒模擬分析?

對於無檔案式攻擊來說，元件越少越好。因為這類攻擊一般並無實際的檔案，也不會下載檔案到受害電腦或寫入硬碟，惡意程式通常直接在系統記憶體中執行。對駭客來說，沒有實體可分析的檔案就不會留下太多痕跡，有助於反制傳統的沙盒模擬分析。 繼續閱讀