勒索病毒 ransomware /勒索軟體 - 資安趨勢部落格

勒索軟體攻擊從個人電腦轉到網站

2016 年 03 月 30 日2016 年 03 月 30 日趨勢科技 TrendMicro

2月13日，英國心理諮商及心理治療協會（BACP）網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。

這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼，會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是，會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話。

安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites，並且在他的發現中分享：「一旦開發者（攻擊者）可以存取一個網站，他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後，上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是，如果網站不是使用PHP，CTB-Locker for Websites將無法作用。」

從首篇報導的勒索軟體 Ransomware事件中，難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本，發現迄今至少有102個網站被感染。繼續閱讀

勒索病毒,連警察局長辦公室也淪陷

2016 年 03 月 25 日2018 年 08 月 10 日趨勢科技 TrendMicro

警長辦公室硬碟遭到加密! 因為有人不小心從共用網路上下載了勒索病毒。猜猜看以下哪個是正確的 ?____
1.警察逮捕了歹徒
2.歹徒主動交出解密金鑰
3.警察竟付了贖金
4.FBI 追查並逮捕到歹徒

「你們的檔案都已被我加密，如果真的在乎這些數據，那麼建議你們別浪費寶貴時間，尋找不存在的解決方案」。在連續五天努力都未能解密之後，受害者無奈支付了數百美金贖金給勒索病毒 Ransomware 犯罪份子，而受害對象是警察。

本文末列舉的是 2015 年四月的例子,但這並非唯一的一個勒索病毒 Ransomware 挑戰執法單位的案例:

麻薩諸塞州 Swansea警察局在2013年支付了750美元贖金
伊利諾州 Midlothian警察局2015年支付了500美元
田納西州迪克森郡(Dickson County)治安官辦公室2015年支付了572美元。
阿拉巴馬州柯林斯維爾（Collinsville）警察局在 2015 年6 月被襲, ，導致罪犯照片資料庫被加密鎖定。駭客要求500美元贖金，但這家小鎮警局拒絕支付，而是放棄被綁架的檔案資料

加密勒索病毒看準警察局缺少IT專業人士,一再挑戰執法單位

犯罪份子鎖定美國小鎮警局,主要是看準他們人手不多，缺少IT專業人士，警察為了讓自己的工作儘快恢復正常的情況下,只能無奈選擇支付贖金。

今日的惡意程式和以往已大不相同。過去，使用者只需一套防毒軟體，或者依序執行某些步驟就能清除惡意程式的檔案和副作用，但今日的勒索病毒 Ransomware 可沒這麼好應付。勒索軟體是專為鎖住系統或某些檔案然後向使用者勒贖而設計，因此可說是場賭注：不是歹徒拿錢走人，就是受害者承受檔案全毀的代價。

雖然早期的勒索軟體變種 (尤其是那些單純只將電腦畫面鎖住的變種) 可以透過勒索軟體反制工具來解決，但一些較新的變種可就沒這麼容易對付。事實上，會將電腦系統鎖住「並且」將某些檔案加密的加密勒索軟體，可說是駭客的一招「死棋」，使用者一旦中招，立刻就陷入兩難的抉擇。

[延伸影片：勒索軟體如何運作：從感染到勒索]

沒有解密金鑰，就算勒索病毒 Ransomware被清除了，被加密的檔案還是救不回來

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)採用了現代化的加密技術，這些原本為了保護資料及通訊安全而發展出來的加密技術，會使用特殊的演算法來將檔案重新編碼，因此唯有擁有解密金鑰的人才能開啟或閱讀檔案內容。繼續閱讀

CERBER：會說話的加密勒索軟體，在俄羅斯地下市場兜售

2016 年 03 月 08 日2016 年 03 月 09 日趨勢科技 TrendMicro

「注意！注意！注意！」
「你的文件、照片、資料庫和其他重要檔案都已經被加密！」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

想想看，你系統上所有的重要檔案都被勒索軟體 Ransomware加密了。你很快就收到勒贖通知，其中一個還會發出聲音念出訊息，並告知你的檔案已經成為勒索贖金的人質，除非你依照指示付贖金。

RANSOM_Cerbera加密勒索軟體具備「語音」能力，用電腦語音來播放如下音頻檔案：

音訊播放器

00:00

使用向上/向下鍵以提高或降低音量。

在一般的案例中，這類型的威脅會出現包含如何支付贖金和取回檔案的說明圖檔。這種創新作法讓人想起REVETON變體（或稱為警察勒索軟體），能夠根據使用者所在地來用適當的語言「說話」。

圖1、勒贖通知樣本

根據我們的調查，CERBER只使用英語；然而，當使用者透過Tor瀏覽器來點入連結，它所指向的網頁會詢問使用者要用哪種語言。儘管登錄網頁提供各種語言選項，但直到本文貼出時，只有英語有效。CERBER背後的網路犯罪分子要求使用者支付1.24比特幣（Bitcoin）（在2016年3月4日時約等於523美元），這會在七天後增加至2.48比特幣（Bitcoin）（在2016年3月4日約等於1046美元）。

圖2、詢問偏好語言的登錄網頁

繼續閱讀

企業如何對抗勒索軟體?請使用趨勢科技端點解決方案

2016 年 03 月 03 日2016 年 05 月 31 日趨勢科技 TrendMicro

勒索軟體 Ransomware 是一種嘗試加密你重要資料檔案的惡意軟體，並且會要求付錢來換取解密金鑰 ,無論是大小企業都得面對這日益嚴重問題。事實上，加密勒索軟體 ,是使用先進技術來避免被發現的勒索軟體 , 近幾個月來的勒索軟體 Ransomware相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索軟體 Ransomware的崛起。從 2013 年起，我們所偵測到的傳統勒索軟體與加密勒索軟體的比例，已從過去的80/20 演變至今日的 20/80。

光是備份還不夠

針對勒索軟體 Ransomware的完整防禦中必須包含好的備份策略。但即使你可以快速地利用雲端備份來重新復原系統，還是無法避免產生運作中斷。最好是在勒索軟體影響資料前先加以發現和消除。

[延伸閱讀：你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集 ]

特徵碼比對的限制

特徵碼比對技術仍是趨勢科技端點防禦的核心要素之一，每月封鎖了超過14億筆。特徵碼比對是打擊已知惡意軟體非常高效能的作法。然而，在進階惡意軟體（包括加密勒索軟體 Ransomware）的時代，光是特徵碼比對並無法完全保護你。

OfficeScan防護勒索軟體能力

近幾年來，趨勢科技 OfficeScan™ 已經不單單是使用特徵碼比對技術，還運用行為監測、記憶體檢查等新一代技術來偵測惡意軟體。OfficeScan V11 SP1加強了這些技術，再加入針對勒索軟體的新功能。趨勢科技 OfficeScan™ 現在具備以下這些防護勒索軟體 Ransomware功能：

使用雲端及本地端白名單來將誤判降至最低，以免影響已知的好程序（process）。
透過現有的預防/偵測層來封鎖已知惡意軟體（在檔案層級使用特徵碼比對，或是在解開封裝/記憶體檢查時使用較小的片段比對）。
將發現的未知物件與趨勢科技主動式雲端截毒服務SPN( Smart Protection Network)的全球威脅情報資料進行關聯以加強風險評估。如果物件是SPN所未知或很少看到，就會被標記為更加可疑。
使用行為監測技術來發現異常或惡意活動模式以偵測隱匿惡意軟體活動。OfficeScan會特別檢視加密或修改檔案的未知程序（process）, 以更即時發現加密勒索軟體。此外，我們也不停地更新行為偵測規則來強化勒索軟體的偵測率。
迅速終止勒索軟體程序（process）和隔離受影響的端點，大幅減少資料損失並減少/阻止勒索軟體蔓延。
注意：趨勢科技用這些新的先進功能來強化端點防護以回應這些勒索軟體攻擊。（到這裡下載OfficeScan V11 SP1及Worry-Free Standard/Advanced V9.0 SP2的最新防護勒索軟體更新。）

繼續閱讀

打開 Word 檔也會中勒索軟體!!新加密勒索病毒 Locky,偽裝發票,誘騙下載

2016 年 03 月 03 日2016 年 11 月 01 日趨勢科技 TrendMicro

如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 Ransomware (勒索病毒/綁架病毒)，它利用使用者對 Microsoft Word 檔比較沒有戒心的心態，企圖透過惡意巨集加以運行。

這是一個使用較少見方法進行散播的新勒索軟體 Ransomware (勒索病毒/綁架病毒):「Locky」,透過Word文件內的惡意巨集來滲透入系統。雖然勒索軟體較少出現利用巨集攻擊，但類似的散播方式可以找到知名的惡意銀行軟體DRIDEX，它也使用類似的攻擊方式。

Locky透過電子郵件進入受害者電腦，偽裝成發票並附上帶有惡意巨集的Word文件。根據研究人員表示，其相關內容如下:

郵件主旨：

ATTN: Invoice J-98223146

內文：

「Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.

（詳見隨附發票（Microsoft Word文件），並且根據發票底部所列出品項匯出付款。）」

開啟巨集才能檢視文件檔 ? 啟用巨集勒索軟體即開始暗中加密

一旦受害者不疑有他的開啟 Word檔檢視時會出現亂碼, 同時會看到以下要求啟用巨集才能正確檢視的訊息:「Enable macro if the data encoding is incorrect（如果資料編碼不正確就啟用巨集）。」事實上,巨集一旦被啟用，則開始暗中下載勒索軟體感染加密受害用戶的檔案

Locky的惡意執行檔下載自網路伺服器。一旦安裝，便會開始尋找可用的硬碟（包括網路硬碟）並加密檔案，如文件、圖片、音樂、影片、壓縮檔、資料庫和其他網頁應用程式相關檔案。加密的檔案將被重新命名，並加上「.locky」副檔名。就跟其他勒索軟體一樣，每個被加密資料夾中會附上各種語言的勒索訊息會。該訊息引導受害者到Tor網路來用比特幣（Bitcoin）（0.5 BTC）付錢。

[延伸閱讀：勒索軟體如何運作以及該如何保護自己]

Palo Alto Networks的研究人員已經紀錄了446,000條跟此新勒索軟體 Ransomware相關的連線，其中一半以上（54%）影響美國的受害者。趨勢科技將此勒索軟體偵測為RANSOM_LOCKY.A。除了美國以外，也出現在全球各地，包括日本、德國、法國、義大利、英國、墨西哥、西班牙、以色列和印度。繼續閱讀