12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

你在擁擠的馬路上行走時會小心扒手,那在網路呢?

網路銀行提供了許多便利性,也帶給詐騙份子可乘之機,為了避免Google的索引雷達,網路銀行扒手沒有註冊任何主機名稱/網域;他們假裝來自正常銀行的網路釣魚是用來獲取敏感資料;利用間諜軟體竊聽網路封包;甚至會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼….

以下是一些攻擊者使用過並繼續讓許多網銀用戶存款人間蒸發的著名銀行木馬列表:

2006

ZBOT(又名ZeuS): 利用瀏覽器視窗標題或地址列網址來監視使用者的瀏覽狀況以觸發攻擊

ZBOT是公認最惡名昭彰的銀行木馬,它以建立木馬程式或惡意軟體工具包竊取銀行帳戶資訊著稱。它利用瀏覽器視窗標題或地址列網址來監視使用者的瀏覽狀況以觸發攻擊。變種會插入JavaScript 到正常的銀行網頁並透過 HTTP POST 到遠端網址來收集資訊。網路犯罪分子可能會用取得的資料來從受害者身上竊取金錢或到地下市場出售。此外,一旦電腦受到感染,它也會成為「Botnet傀儡殭屍網路」網路的一部分。

2011年,ZBOT的原始碼在檔案分享網站流傳,並且在地下論壇迅速地蔓延。在ZBOT問世後幾年,許多網路犯罪分子利用它的程式碼來建立具備類似功能的變種。ZBOT變種常會出現意想不到的行為,像是結合檔案感染型病毒,有些變種還會透過點擊付費(per-pay-click)模式收錢。

有些ZBOT變種會調整行為來躲避偵測,包括使用隨機標頭和不同副檔名,還會改變其加密方式。此外,它也加強其連到C&C伺服器的方法,像是使用Tor和點對點網路。

網路釣魚phishing2

2007

GOZI利用螢幕擷取和鍵盤側錄功能,取得登錄認證

GOZI銀行木馬是會監視網路流量的間諜軟體。利用其螢幕擷取和鍵盤記錄功能,它可以取得存在瀏覽器和郵件應用程式的登錄認證。GOZI利用Rootkit組件來隱藏相關進程、檔案和註冊表資訊。

在2015年9月,拉脫維亞的Deniss Calovskis在美國聯邦法院承認關於製造和散播網路銀行木馬GOZI的罪名。他在2015年2月從家鄉引渡到美國,Calovskis面臨60年以上的求刑,但認罪可能讓它大大縮短至10年再加上巨額罰款。  Continue reading “12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法”

【病毒史上的今天】2004年 6 月 15 日 第一支手機病毒 Cabir 誕生

2004 年:第一支手機病毒 Cabir會自動發送加值服務簡訊
2014年:從事間諜活動的 App會啟動麥克風、拍照或錄影,並且攔截來電和簡訊。

手機 mobile

 手機病毒(行動惡意程式) 誕生日:2004年 6 月 15 日

2004 年,隸屬 29A 病毒開發團體的程式設計師 Vallez 撰寫出一種名為 Cabir 的概念驗證攻擊。(請參考:2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢) 沒多久,這項概念驗證攻擊技巧即被其他駭客所吸收,同年底,網路上即流傳著更惡毒、更強大且專門感染 Symbian 行動裝置的變種。此外,高費率服務盜用程式也在 2004 年誕生並一直延續至今。Qdial 惡意程式化身熱門遊戲「Mosquitos」(蚊子) 的木馬化版本,專門感染 Symbian s60 系統的行動裝置,並且發送高費率的簡訊,使用者的因而帳單破表,歹徒卻大賺了一票。同年 11 月,毀滅性的 Skulls 病毒開始透過檔案分享網站和電子郵件散布,專門破壞重要檔案,似乎又回到十年前病毒疫情爆發的年代,而且它還融合了 Cabir 的蠕蟲功能來提升其散布能力。

 

2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢
2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

Continue reading “【病毒史上的今天】2004年 6 月 15 日 第一支手機病毒 Cabir 誕生”

「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心

5月 13日是2016年的第一個黑色星期五,也是 Friday 13th 黑色星期五在 1987 年發病以來的第29個年頭。黑色星期五,這是個被西方社會認為是不幸、不吉利的日子。據英國《每日郵報》報導,黑色星期五當天發生的交通事故比平日高出個百分點

而根據趨勢科技統計,13 號星期五當天發病的已知病毒也有五隻。但是這些病毒屬於低度風險的病毒,相較於隱藏在頁面後面看不到的威脅,它的傳播力與破壞力已經不足以構成威脅了。取而代之的是被媒體形容為宛若電腦綁架的勒索病毒 Ransomware。適逢報稅季,搶在黑色星期五之前,本周稍早即出現了勒索病毒假健保卡報稅郵件,勒索六萬台幣!

Friday 13 th

雖然「黑色星期五」病毒,曾經傳出嚴重的災情,甚至在 1996 年度高居趨勢科技病毒排行榜第二名,但28年後的今天發病時會讓 A 磁碟機一直在亮燈狀態,並顯示 “ We hope we haven‘t inconvenienced you” 訊息的黑色星期五,已經邁入毫無戰鬥力的退休狀態。

趨勢科技表示黑色星期五誕生的這年恰巧也是史上第一隻電腦病毒:大腦(Brian)首度被發現的年份。28歲對電腦病毒而言,卻是人瑞級電腦病毒,甚至可說是大量病毒爆發時代走入歷史的時刻

當年「Friday 13th-13號星期五」病毒上身時,A磁碟機會一直在亮燈狀態。「Friday 13th-13號星期五」的變種病毒很多,包括,Edge、Friday 13th- 540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B 等。事實上,感染方式相差無幾,包括增加文件長度、擴大感染範圍、出現令人哭笑不得的訊息。

另外一隻專門在13號星期五發病的知名病毒是「耶路撒冷病毒」,1987年11月耶路撒冷病毒在以色列的Hebrew大學被發現。雖然它和「13號星期五」的生日只差一個月,但感染的後遺症卻比前者嚴重。中毒電腦會出現系統執行速度變慢的現象,每逢13號星期五會在螢幕左下方出現黑色視窗,並會刪除正在執行的程式。

勒索病毒 :不給錢就鎖檔,連 FBI 都沒轍

中了勒索軟體該怎麼辦?「建議受害人付款了事」在一個網路安全高峰會上FBI 如是表示

【保護重要檔案,不能再等!!】上個月起碼有兩家醫院因勒索軟體被迫回到紙本作業;新聞曝光的受駭者至少超過五個警察局,和大型知名網站》》一般電腦用戶更因開啟熟人冒充的釣魚信、下載軟體、瀏覽惡意網頁…而遭致不計其數電腦檔案變成肉票!!

 

FB851x315

 

以下是幾個感染勒索病毒的管道

「不給錢 就鎖檔」你愛的韓劇,日劇,陸劇,電影….勒索軟體也愛!!
追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載


最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索軟體,

 

報稅季勒索軟體守株待兔,未雨綢繆方能「稅稅平安」
勒索病毒假健保卡報稅郵件,勒索六萬台幣!捍衛血汗錢,謹記網路報稅三「不」驟

Vulnerability 漏洞 勒索軟體 警告 安全

 

” 附件是 word 檔案,打開沒關係吧? ”
不給錢就鎖檔! 防止檔案成勒索軟體肉票,防範未然是王道

ransomware-word

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密,免費下載試用

Windows10Banner-540x90v5

AV-TEST :PC-cillin雲端版再度獲選為”最佳防毒軟體”


 

 

同場加映:巧合的13號星期五威脅事件:

 

Frith 13 th

2006年10月13日黑色星期五,發生日本麥當勞召回總數約1萬台的MP3播放器的贈品事件,因為其發送的MP3播放器含有會竊取使用者資料的木馬病毒 WORM_QQPASS.ADH,該木馬可透過大陸即時通訊軟體(IM)QQ傳送,當時日本麥當勞在官方網站提供趨勢科技解毒程式連結,作為危機處理。不過這事件恰巧發生在13號星期五,跟病毒設定的發病日無關。

 

黑心軟體 比黑色星期五更可怕 假防毒軟體被視為勒索病毒 Ransomware的前身

網路上出現更多比黑色星期五更危險的威脅,可能讓你看了一眼網站,就被暗中植入木馬間諜程式,這類隱匿性攻擊正結合黑心安全軟體,「假好心 真詐騙」。

由於合法網站與惡意網站之間的區別愈來愈模糊難辨,利益薰心的駭客看準安全意識較高的網友,在利用網頁等漏洞植入惡意程式後,不時跳出「發現病毒」等警告訊息,藉以販售黑心冒牌的安全軟體,如 假防毒軟體,這不但會讓受害者花冤枉錢,還會導致信用卡帳號被盜用。

【延伸閱讀】假防毒軟體從電腦移植到了 Android 平台

手機 假防毒軟體 Fake app

付費升級 信用卡還被盜用

假防毒軟體之類的黑心軟體,是一種偷偷下載或安裝至使用者電腦中的軟體。這些假好心的程式會嘗試以各種方式反覆警告使用者他們已經感染惡意程式。但事實上,使用者的電腦往往未發生感染,如果有,也是隨著下載的黑心假防毒反間諜軟體安裝到他們的電腦中。而無論是何種情況,這些「免費試用」的軟體都會要求使用者付費升級以獲得完整的功能。成千上萬的使用者因為這種手法而上當,購買了完全未提供任何服務的惡意間諜程式防護軟體,有些要價一套美元。一旦使用者發現這些軟體毫無用處時,他們才恍然大悟信用卡資料已被這些虛設的公司騙走。受害者除了損失50美元以外,還得取消信用卡,免得損失更大。

「你中毒了!」的警告視窗怎麼來的?

這些警告中毒的程式,利用多種頗富創意的方式進行安裝,以下是幾個例子:

1.漏洞:利用的弱點,只要使用者檢視電子郵件或瀏覽網站,惡意程式作者便能將程式偷偷安裝到他們的電腦中。 Continue reading “「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心”

米開朗基羅病毒25 歲了!

歷史上的病毒~3月6 日米開朗基羅/病毒生日

病毒史上的米開朗基羅病毒, 曾是媒體焦點
病毒史上的米開朗基羅病毒,
曾是媒體焦點


米開朗基羅(Michelangelo)是文藝復興時期傑出的雕塑家、建築師、畫家和詩人,米開朗基羅1475年3月 6日生於佛羅倫斯共和國卡普雷塞1564年在羅馬去世,時年88歲。他的風格影響了幾乎三個世紀的藝術家。

水星上位於45.0°S,109.1°W的隕石坑以他的名字命名以示尊敬和紀念。(資料與圖片來源米開朗基羅维基百科)
1991年4月現身的米開朗基羅病毒( Michelangelo)電腦病毒也以他命名:該病毒( Michelangelo)是傳統開機型病毒,當年利用軟碟開機時侵入電腦系統,然後再伺機感染其他的硬碟,該病毒在每年米開朗基羅(Michelangelo)生日-三月六日發作, 有整整一年的潛伏期。還好,現在已經完全沒有影響力了

PC-cillin 獲 AV-TEST 頒發最佳防護獎 ▼免費下載 杜絕色情網頁威脅

PC-cillin 獲 AV-TEST頒發最佳防護獎,領先 28 家家用資安防護產品 可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板 ▼免費下載 杜絕色情網頁威脅

PC-cillin 雲端版 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎ 歡迎加入趨勢科技社群網站
 

  “庫妮可娃”病毒,十五歲生日快樂!

【離奇客訴~】就算中毒 也要看庫妮可娃的真面目!?

 

當年紅極一時的安娜庫妮可娃 (Anna Kournikova) 病毒 在2001年 2月11 日發病,已經屆滿十五歲,每次當我想到這個病毒,我就想到一個故事,這是有關一通來自我們使用者因系統遭該病毒感染而打來的電話。那位使用者非常生氣,但並不是因為感染而生氣,而是我們的防毒軟體移除了病毒,讓他頗為不悅。因為他還是很想看到庫妮可娃的照片。很顯然地,感染的問題已經是其次,客戶生氣的原因是因為最後沒有看到想看的照片。以下是該病毒的e-Mail訊息:

 

Subject line: “Here you have, :o)”
Message text: “Hi: Check this!”
Attachment: “AnnaKournikova.jpg.vbs”.

這就是社交工程 ( Social Engineering )陷阱活生生的案例!

社交工程(social engineering 陷阱技巧在過去十五年已經有長足的進步。十年前被庫妮可娃電子郵件病毒感染的使用者,現在對於不明來歷的電子郵件普遍都存有戒心。因此,今日的戰場已經轉到網站上,所以歹徒總是想盡辦法要讓使用者點選惡意連結。現代的社交工程(social engineering 通常會利用使用者「非要某種東西才可以」的強迫心態或是「可能覺得某某東西很有趣」的好奇心理。

在強迫心態方面,歹徒會讓使用者覺得他們非要什麼不可,然後再提供一個方便的連結,使用者只要點一下就能獲得。這個非要不可的東西,通常是一項安全更新、一個視訊解碼器,或者是類似的東西。這類技巧通常都會巧妙運用使用者的恐懼心理 (例如,不更新就可能遭到駭客攻擊)。

而在好奇心方面,歹徒會讓使用者覺得所提供的內容很有趣,因此會很想看。因為人們總是喜歡發掘新的事物,並且和好朋友分享 (最典型的例子就是 2008 年的那一波 (安潔莉娜裘莉與布來得比特偷拍相關新聞))。

這些年來,即使手法已經有所不同,但社交工程(social engineering 攻擊的基本原理還是離不開人性的弱點,這些弱點在過去十年並無太大改變,未來也不太可能有所差別。

您知道嗎,本部落格有史以來點閱率最高的文章是哪一篇嗎?就是 2008 年有關安潔莉娜裘莉垃圾郵件的那篇。因為一直有人在 Google 上搜尋安潔莉娜裘莉的照片和影片,進而搜尋到該文章的連結。

Angelina

而且,都已經十五年了,到現在還有人在搜尋安娜庫妮可娃的照片,這就是為何社交工程 ( Social Engineering )陷阱到現在都還歷久不衰的原因。

原文參考:安娜,十歲生日快樂!(Happy 10th Birthday, Anna!) David Sancho (資安威脅高級研究員) 著

 

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Shellshock漏洞屆滿一年,您的伺服器和裝置是否更安全了呢?

2014 年爆發 Shellshock 漏洞時,資安研究人員第一時間就跳出來回應。當大多數的 Unix、Linux 及 Mac OSX 作業系統皆普遍使用的 Bash指令列介面程式爆發嚴重漏洞時,研究人員同樣也迅速著手研究網站伺服器可能如何遭到該漏洞的攻擊。Shellshock 漏洞發現當時,全球約有五億台裝置和系統受到威脅。red alret 紅色警戒 資安/病毒漏洞警告

而研究人員擔心的問題也很快就應驗,網路犯罪集團迅速將 Shellshock 整合至現有的攻擊當中,使得一些使用 Bash 指令列介面程式 (至今已有 25 年歷史) 的裝置和伺服器瞬間陷入危機。就在該漏洞曝光的幾小時後,趨勢科技研究人員就在網路上發現針對此漏洞的攻擊。趨勢科技在一個樣本當中發現了 ELF_BASHLITE.A 惡意程式,它不僅可讓歹徒從遠端存取電腦,還可發動分散式阻斷服務 (DDOS) 攻擊。

當時許多企業也迅速做出回應,這或許是因為有了幾個月前的 OpenSSLHeartbleed心淌血漏洞的經驗。加拿大政府也預防性地將某些含有漏洞的系統下線。此外,美國聯邦金融機構檢查委員會 (FFIEC) 也警告金融機構應小心Shellshock  的危險,而英國國家電腦緊急應變小組 (CERT-UK) 也對該漏洞發出警訊

有關 Shellshock 可能造成網站安全問題的疑慮甚囂塵上,因為,歹徒只需幾行程式碼就能入侵含有漏洞的伺服器。經過一番測試之後我們發現,並非所有使用 Bash 的系統都有可能遭到遠端攻擊,只有預設使用 Bash 為指令列介面程式的作業系統才會遭到攻擊。

Shellshock 帶來的恐懼仍持續至今

就在漏洞曝光的一星期之後,更多 Bash 相關漏洞和惡意程式相繼出現。Shellshock 曾被用於 DDoS 攻擊,一家知名的雲端服務被用來攻擊其他伺服器,包括某政府機關的伺服器在內。此外,巴西的政府單位和中國一家金融機構也遭到此漏洞攻擊。另一個相關的惡意程式還會下載 KAITEN 惡意程式的原始碼,此程式專門用於 DDoS 攻擊。除了攻擊伺服器和裝置之外,Shellshock 攻擊也可能影響分配用戶端 IP 位址的 DHCP 通訊協定,以及電子郵件的 SMTP 傳輸協定。

事隔一年之後,這份恐懼已經漸漸消退,但威脅卻依然存在。Shellshock 相關的攻擊仍持續肆虐數位世界。從2015年第二季起,趨勢科技已發現超過 70,000 次使用 Shellshock 漏洞的攻擊以及大約 100,000 次使用Heartbleed心淌血漏洞的攻擊。我們刻意架設了一個含有 Shellshock 漏洞的誘捕網路,光在過去 15 天內即遭到 50 次攻擊

Shellshock 相關的感染已蔓延全球。與一年前的情況相比,今日受害最嚴重的地區仍大致維持不變。當年 Shellshock 曝光後的第一個月,絕大多數受感染的電腦都分布在亞洲 (34%)、歐洲 (34%) 和北美 (11%)。過去一個月,絕大部分受感染的電腦還是分布在亞洲 (46%)、歐洲 (23%) 和北美 (14%)。亞洲地區感染率較高的原因很可能是系統修補作業較未能落實的緣故。

圖 1:2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。
圖 1:2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。

 

圖 2:2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。
圖 2:2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。

 

儘管目前 Shellshock  漏洞仍未出現重大攻擊,但這仍無法掩蓋它是一項普遍性漏洞的事實,而且歹徒有可能利用它來製造真實的傷害。它可用於取得遠端存取權限、發動 DDoS 攻擊、散布惡意程式、竄改並汙損網站、建立「Botnet傀儡殭屍網路」、竊取資料、散發垃圾郵件和網路釣魚郵件,以及執行其他惡意指令。只要駭客的想像力夠豐富,就有無限的方式可攻擊任何使用 Bash 的應用程式和連網裝置,包括:路由器、IP 攝影機、網路閘道 (如 Citrix 的  NetScaler、F5 的 BIGIP 及 Cisco 的產品),以及網站 CGI 程式。 Continue reading “Shellshock漏洞屆滿一年,您的伺服器和裝置是否更安全了呢?”

巨集病毒/惡意軟體20年:從「示範」意味的 Concept 病毒到 APT攻擊

巨集病毒/惡意軟體是資安界所面臨的問題中最長久的一個。自從第一個樣本出現在1995年以來,巨集病毒總是能找到方法來讓擺脫它們的努力化成烏有,一次又一次的以某種形式死灰復燃。我們相信它會具備如此韌性的很大一個原因是因為它所攻擊的是世上使用最廣泛也最無處不在的軟體,如Microsoft Office。從它第一次出現到現在已經有20年了,回顧一下過去這些年巨集惡意軟體歷史和將來會如何發展。

  • 1995 – 1999年:早期年代

1995年,第一個巨集惡意軟體「Word-Concept 」首次誕生。它會利用微軟Word的巨集功能,被發現預裝在微軟所發布Windows 95的光碟上。它基本上無害,只會顯示帶有數字「1」和「OK」按鈕的對話框。也在同一年,第一個Excel巨集病毒XM_LAROUX出現。跟Word-Concept 一樣,「示範」作用居多,只會顯示一個帶有模糊訊息和確定按鈕的對話框。

在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

 

在世紀末的1999年,最惡名昭彰的巨集惡意軟體之一 梅麗莎(Melissa)出現。當時幾乎所有的信箱都塞滿了這樣標題的信件:「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ,信件內容為:「 Here is that document you asked for….don’t show anyone else:-)」並有一個內含80個色情網站 Word 附件檔。

一旦打開附件檔,會大量寄出郵件給使用者通訊錄上的前50名郵件地址。許多知名大企業並沒在情勢失控前,找到合宜的解決方案。甚至以關閉 Mail server 來對抗這隻史無前例擴散的病毒,全世界約有20%的電腦被感染,造成超過8,000萬美元的損失。
Continue reading “巨集病毒/惡意軟體20年:從「示範」意味的 Concept 病毒到 APT攻擊”

勒索軟體:恐嚇取財手法十年進化史

勒索軟體誕生於 2006 年
2012年假冒警察,抓盜版軟體
2013年加密手法日益成熟
2014-2015年 鎖定企業,台灣也受駭…

自從我們第一次遭遇勒索軟體 Ransomware至今已過了大約十個年頭,這類軟體會挾持受害者最重要的檔案,然後逼迫受害者支付一筆金額來贖回這些資料 (因而稱為勒索軟體)。為了記錄這個有史以來發展最蓬勃、吸金能力最強大的惡意程式類型邁入十年重大里程碑,讓我們來回顧一下我們所接觸過的重大案例,看看它們這些年來是如何發展與演變。

駭客 攻擊 通用

2006 年:起源

僅管早在 2005 年中期,媒體就報導過一些勒索軟體 Ransomware的案例,但是較為精密且會採取某種加密手法的版本要在一年之後,也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A,它會搜尋受害者硬碟上某些副檔名的檔案,然後將這些檔案壓縮成含有密碼保護的壓縮檔,並將原始檔刪除。使用者若沒有任何其他備份,就只好想辦法看看能不能解開這份壓縮檔案。此外,TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息,告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。

當然,由於這是勒索軟體 Ransomware首次嘗試向不知情的使用者詐取錢財,其詐騙手法還不是非常周延。因為,歹徒的密碼其實就儲存在惡意程式其中一個元件當中,也就是它的 .DLL檔案,而且大剌剌地並未加密。

2011 年:實驗摸索的階段

時間繼續向前快轉五年,我們發現勒索軟體 Ransomware已有重大進展,至少在贖金的付款方式上已經可以接受行動支付機制。2011 年發現的 TROJ_RANSOM.QOWA 專門鎖定俄羅斯的使用者。此變種一改挾持檔案勒贖的作法,直接將使用者的桌上型電腦鎖住,並在螢幕上顯示一個要求支付 360 俄幣 (在當時約為 12 美元) 贖金的畫面。受害者必須撥打一個付費電話號碼並同意支付費用才能取回系統的主控權。

儘管這還不像後來發展出來的檔案加密怪獸,也不像那些要求龐大贖金的變種,但歹徒已經達到目的。雖然贖金只有區區 12  美元,但這項攻擊行動在短短五週之內就獲利至少 30,000 美元,至少有 2,500 人受害。據統計,此惡意程式光在一個月前就從某個色情網站被下載了 137,000 次以上,絕大部分都是俄羅斯使用者。

金額不高,再加上付款方便,使得這項詐騙對受害者來說並不會造成太大麻煩。您會不會支付 12 美元來贖回自己的電腦?這在今日大概只不過是三杯拿鐵的價格而已,遠少於其他勒索軟體 Ransomware所要求的金額,因此受害者也就乾脆付款。

上述數據證明了勒索軟體 Ransomware的獲利潛力,很顯然地,誘騙使用者下載一個能夠鎖住其檔案或電腦以勒索贖金的惡意程式,可收到非常好的效果。這同時也證明了有效散布管道的價值。毫不諱言,這個案例證明了色情就是能夠吸引許多俄羅斯使用者上勾並自願下載惡意程式。

2012 年:青春期血氣方剛的恐嚇技倆

Continue reading “勒索軟體:恐嚇取財手法十年進化史”

巨集惡意程式:老技倆依舊有效

巨集病毒曾經是最熱門的話題, 它主要是利用軟體本身所提供的巨集能力來設計病毒, 所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能, 如Word, Excel,都相繼傳出巨集病毒危害的事件, 在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

 

1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:
1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:

台灣本土文件巨集病毒,當時國中生寫的台灣猜拳病毒

 

自稱來自某國中的愛國少年,寫的釣魚台病毒
自稱來自某國中的愛國少年,寫的釣魚台病毒

 

現在,我們該好好重溫一下 Microsoft Word 下面這個安全性警告訊息為何重要:


1:Microsoft Word 巨集安全性警告

今天下午,我在同事之間詢問了一下這個問題:「你能不能馬上想到任何一個有效的巨集惡意程式?若是透過電子郵件散布就更好。」我得到的第一個答案是1999年3月26日,導致全球大企業的 Email Server大當機的「Melissa」,但另一位較資深的同事則說1995年的第一隻文件巨集病毒「WM Concept」和 1996年的Excel巨集病毒「LAROUX」。接著我又問其他同事能不能舉出 2005 – 2008 年左右的熱門巨集惡意程式,結果大家開始聊起 2000 年代巨集病毒瘋狂的年代,也想起當年 Microsoft Office 將預設安全性改成高安全性之後對惡意程式情勢有多大改變,以及現在將如何歷史重演。

信件 網路釣魚Mail

「舊瓶裝新酒」

我們在一年前就開始發現巨集惡意程式重返的跡象,當時看到的是 W97M_SHELLHIDE.A 和 TSPY_ZBOT.DOCM 的合體。一開始,我們以為只是偶然的案例,但根據趨勢科技有關 BARTALEX 的最新報告指出, DRIDEXROVNIX 及 VAWTRAK 等惡意程式也再度利用巨集來散布惡意程式,並且從 2014 下半年延續至今年。

不但如此,趨勢科技也注意到巨集惡意程式這次重現江湖的目標非常明確,那就是:企業機構。而且企業也因遭受一波垃圾郵件散布的巨集惡意程式攻擊而嚴重受創。 Continue reading “巨集惡意程式:老技倆依舊有效”

< 歷史上的病毒- I Love You > 從 ” 我愛你 ” 到 ” 我愛錢 ”

5 月 20日,你聽到日曆跟你說那”我愛你”了嗎?

五月對資安產業來說是個重要的月份,因為在病毒史上赫赫有名的病毒– I Love You(Lovebug)就在這個月出現。在2000年時,這是一次可怕的事件,因為它使用了一種新的方式去感染系統 – 透過電子郵件。這開啟了自此之後都深受其害的電子郵件病毒時代。是的,技術上來說算是蠕蟲,但是並不重要。那時重要的是那些病毒作者想把你的電腦當作虛擬牆壁來塗鴉(“Jaschan was here, screw you netsky!” 註: 當年的.  BAGEL和NETSKY 的病毒作者們會互相叫陣,在受感染的電腦中留下攻擊對方的文字)。

520  i love you

 

15年前的5月4日是病毒史上的轉捩點,ILOVEYOU 愛情蟲(又名 Loveletter)病毒在當天襲捲全球,眾多Outlook使用者收到以 ”ILOVEYOU”為搧惑收件者開啟email 的陷阱標題,該封信並夾帶了一個附件名稱為”LOVELETTER-FOR-YOU.

TXT.vbs”的檔案。但是這封偽裝的情書背後隱藏了所謂的郵件蠕蟲,如果啟動了這個惡意的病毒附件檔案,它就會複製本身,也就是只要打開附件檔案,病毒就會經由被感 染者的Outlook通訊錄名單發出垃圾郵件, 其骨牌效應有如雪崩一樣讓傳染疫情加速度蔓延。

 

i love you

 

在 短短數小時內,這個病毒郵件塞爆了全球企業與政府機構的郵件伺服器,更引發更多的電腦遭連鎖感染。此外,ILOVEYOU愛情蟲病毒還能造成圖形與聲音檔案等十多種檔案遭到病毒覆寫而毀損。

這病毒的附檔名是 LOVE-LETTER-FOR-YOU.TXT.vbs 。但是 Windows 會將第二個檔名隱藏起來,所以使用者看起來會以為是一般的 .TXT 文件檔。
這隻病毒可說是早期使用社交工程(social engineering 手法得逞的經典案例。

15年來「懇請幫助地震災民」、「奧運可能取消」、「你的Google 關鍵字廣告帳戶被停用」…各種利用人性好奇心的類似手法不斷出招,只是從登上世界版免頭條新聞的伺服器當機,轉成靜悄悄地竊取個資犯罪模式。

Continue reading “< 歷史上的病毒- I Love You > 從 ” 我愛你 ” 到 ” 我愛錢 ””