資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

根據趨勢科技威脅回應工程師 Pacag 指出，幾個星期前，有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 的運作方式，現在，網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件，就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面，因為這類病毒的效果真的是太強。一般來說，使用者可能經由下列管道感染勒索病毒：瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行，就會開始加密電腦或伺服器上的檔案，接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣)，使用者若想救回被加密的檔案，就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一，但卻從受害者身上海撈了 3.25 億美元，而這些很可能都是淨賺的，因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何？一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性，但藉由大量的加密：整個資料夾、整個磁碟、整台伺服器等等，網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金，而且就算只有少數受害者願意付錢，他們的獲利也相當可觀。繼續閱讀

2016 上半年資訊安全總評報告：勒索病毒當道變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)

2016 年 09 月 07 日2017 年 04 月 25 日趨勢科技 TrendMicro

2015 年底，趨勢科技曾預言 2016 年將是網路勒索之年。今年上半年短短六個當中，我們看到網路犯罪集團如何大肆擴張網路勒索行動，利用勒索病毒 Ransomware (勒索軟體/綁架病毒) 來攻擊企業，包括中、大型企業在內。

勒索病毒稱霸威脅版圖

勒索病毒依然不斷成長，儼然成為一項普遍的威脅。光是 2016 上半年我們看到的新勒索病毒家族數量就已經較 2015 年一整年成長 172%。隨著勒索病毒攻擊日益精密、日漸普遍，我們相信下半年將帶來更大的損害。

每月新增的勒索病毒家族數量

我們發現勒索病毒家族在感染手法和勒索伎倆上都不斷翻新。奪魂鋸Jigsaw 會在每隔一段時間受害者仍不支付贖金時就刪除一批被加密的檔案。同樣地，SURPRISE 會在受害者超過期限時提高贖金。

此外，我們的研究也發現，某些勒索病毒家族專門鎖定特定企業檔案，例如 SURPRISE 和 POWERWARE 會將報稅檔案加密。繼續閱讀

報告:上半年勒索病毒幾乎比去年翻一倍變臉詐騙及漏洞攻擊為企業資安防禦當務之急

2016 年 09 月 01 日2016 年 08 月 31 日趨勢科技 TrendMicro

2016上半年資訊安全總評:勒索病毒稱霸資安威脅版圖

正如趨勢科技所預言，2016 年已成為網路勒索之年，且攻擊手法不斷翻新。全球資安軟體及解決方案領導廠商趨勢科技發表的2016上半年資安總評報告：「勒索病毒當道的時代」，詳細分析了今年上半年的攻擊與漏洞發展趨勢。此報告針對攻擊的成長與衝擊做了廣泛的分析，例如，2016 年至今，勒索病毒已成長 172%，而變臉詐騙攻擊 (又稱為商務電子郵件入侵Business Email Compromise， BEC) 則造成了 30 億美元的損失，此外趨勢科技也在市面上各家軟體當中發現了將近 500 個漏洞。

趨勢科技技術長 Raimund Genes 指出：「勒索病毒 Ransomware (勒索軟體/綁架病毒)有能力癱瘓它所攻擊的企業，其幕後的網路犯罪集團正積極地設法讓病毒不斷演進，使得企業因而疲於奔命。到目前為止，勒索病毒可說是稱霸了2016年的威脅版圖，各種產業都有企業蒙受巨大損失。企業必須採取多層式資安解決方案，才能以最有效的方式對抗這類隨時試圖入侵企業網路的威脅。」

以下是該報告整理出的 2016 上半年重大資安趨勢：

台灣所偵測到的勒索病毒高達2百多萬，名列亞洲第二：2016 上半年，勒索病毒家族出現數量幾乎比 2015 年翻了一倍 (成長率 172%)，更加鞏固了勒索病毒在資安版圖的地位，其攻擊涵蓋所有階層的網路。並且台灣所偵測到的勒索病毒高達2百多萬，名列亞洲第二。

勒索病毒稱霸威脅版圖：2016 上半年，勒索病毒家族出現數量幾乎比 2015 年翻了一倍

變臉詐騙蔓延全球：根據美國聯邦調查局 (FBI) 的資料，2016 年至今變臉詐騙受害企業已超過 22,000 家，並且造成 30 億美元以上的損失。趨勢科技發現，美國是遭受這類攻擊最多的國家。
漏洞攻擊套件收錄新漏洞並散布勒索病毒：Angler 漏洞攻擊套件因 50 名犯罪集團成員遭到逮捕而逐漸式微。然而，其他漏洞攻擊套件卻趁機崛起並紛紛取而代之，其中還包括一些新面孔，例如：Rig 和 Sundown。
Adobe Flash Player與物聯網（IoT ,Internet of Thing）平台發現的漏洞數量持續增加：趨勢科技和 ZDI 發現並通報了多個重大瀏覽器和系統核心漏洞，而且這些都是在Pwn2Own世界駭客大賽當中所發現。
資料外洩災情肆虐各種產業：上半年，不論公家機關或私人機構都發生了資料外洩事件，包括：Myspace、威訊通信(Verizon)、多家醫院以及政府機構。
新版 PoS 惡意程式帶來新式攻擊：FastPoS 具備了高效率的信用卡竊取能力，災情遍及全球中小企業，也包括美國在內。此外它還有FighterPoS這個具有跨網路感染能力的變種首度現身，其性質類似蠕蟲，因此能跨網路感染。
舊漏洞重獲新生：Shellshock 漏洞攻擊案例在今年上半年有所成長，儘管廠商早就釋出修補程式，但我們每個月還是會看到上千筆新的漏洞攻擊。這是一個顯示虛擬修補技術更能夠發揮作用的例子，此技術能在新漏洞出現時讓企業網路更快獲得防護。
違反常理的銀行木馬程式：當 DYRE 網路銀行木馬程式的作者遭到逮捕之後，銀行木馬程式的數量卻因為QAKBOT 木馬程式而大增。此變種專門竊取重要資訊，包括：銀行帳號密碼、使用者瀏覽習慣，以及其他敏感的使用者資料。

繼續閱讀

在出現勒索訊息之前,勒索病毒暗中做的四件事

2016 年 08 月 31 日2016 年 09 月 02 日趨勢科技 TrendMicro

勒索病毒：幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫，不僅危害一般的使用者，還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽，勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒，直到他們看到勒贖訊息突然出現在螢幕上，但那時為時已晚。

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言

對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果，在受害者看到勒贖通知之前,這中間發生了什麼事？

1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內，通常是以可執行檔的格式。在Windows環境，惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾，原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

2.連線到特定網站收發資訊

一旦惡意軟體進入系統，它會連上網路並且聯絡伺服器，在這個階段，勒索病毒跟命令和控制（C&C）伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡（趨勢科技偵測為RANSOM_POGOTEAR.A），惡意軟體連到特定網站來收發資訊。

3.搜尋特定類型的檔案進行加密 繼續閱讀

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

2016 年 08 月 18 日2016 年 09 月 02 日趨勢科技 TrendMicro

繼會偷偷幫你點色情廣告，讓你手機帳單暴增和假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身，遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。

《Pokemon GO》手機遊戲如旋風般橫掃全球，網路犯罪集團早就盯上這波熱潮，連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現，趨勢科技將它命名為：Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇，然而在經過仔細研究之後，我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。

在受害電腦上建立網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號，並且將此帳號加入系統管理員 (Administrator) 群組。此外，駭客還透過修改系統登錄的方式，讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時，它還會在受害者的電腦上建立一個網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時，就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔是複製到可卸除式磁碟時，它還會順便建立一個自動執行 (autorun) 檔案，這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟，則會複製到磁碟的根目錄。歹徒透過這樣的方式，讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示，有多個跡象顯示這個勒索病毒目前仍在開發階段。首先，它採用了固定的 AES 加密金鑰：「123vivalalgerie」。其次，其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址，這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看，它似乎是針對阿拉伯語系的國家而開發，勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此，其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思)，這似乎也透露出程式開發者的國籍。