「注意!注意!注意!」
「你的文件、照片、資料庫和其他重要檔案都已經被加密!」
“Attention! Attention! Attention!”
“Your documents, photos, databases and other important files have been encrypted!”
想想看,你系統上所有的重要檔案都被勒索軟體 Ransomware加密了。你很快就收到勒贖通知,其中一個還會發出聲音念出訊息,並告知你的檔案已經成為勒索贖金的人質,除非你依照指示付贖金。
RANSOM_Cerbera加密勒索軟體具備「語音」能力,用電腦語音來播放如下音頻檔案:
在一般的案例中,這類型的威脅會出現包含如何支付贖金和取回檔案的說明圖檔。這種創新作法讓人想起REVETON變體(或稱為警察勒索軟體),能夠根據使用者所在地來用適當的語言「說話」。
圖1、勒贖通知樣本
根據我們的調查,CERBER只使用英語;然而,當使用者透過Tor瀏覽器來點入連結,它所指向的網頁會詢問使用者要用哪種語言。儘管登錄網頁提供各種語言選項,但直到本文貼出時,只有英語有效。CERBER背後的網路犯罪分子要求使用者支付1.24比特幣(Bitcoin)(在2016年3月4日時約等於523美元),這會在七天後增加至2.48比特幣(Bitcoin)(在2016年3月4日約等於1046美元)。
圖2、詢問偏好語言的登錄網頁
趨勢科技還發現CERBER使用.json格式的設定檔 – 這種檔案格式通常用來傳送和儲存定義在屬性值對(attribute-value pair)內的資料。進一步檢視此設定檔後,我們發現這個勒索軟體 Ransomware 很容易進行客製化 – 讓擁有者可以變更勒贖通知、針對的副檔名以及列入黑名單的國家。這顯示CERBER是為了要賣給其他的網路犯罪分子,以對他們的需求量身打造。
圖3和圖4、CERBER設定檔用來客製化的程式碼
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,Nuclear漏洞攻擊包正透過惡意廣告來散播此惡意軟體。Nuclear漏洞攻擊包是目前最常被使用的套件之一,僅次於更加惡名昭彰的Angler漏洞攻擊包。
現在這些放置惡意廣告的伺服器都無法訪問。有報導提到,CERBER在俄羅斯地下市場以勒索軟體及服務(RaaS)的形式進行兜售。這不僅印證了因為上述設定檔內程式碼所得出的想法,也證明我們將在不久的將來看到更多CERBER出現。
關於備份檔案
勒索軟體 Ransomware仍然是相當常見的威脅,因為有效的社交工程(social engineering )誘餌結合其功能。了解這些威脅如何運作可以幫助使用者和企業保護重要資料。最低限度該做的是定期備份重要檔案。遵循3-2-1規則,將3份副本儲存在兩種不同設備上,另外一份放在安全的位置。另一件重要的事情是要記住,不要屈服,支付贖金有可能會讓網路犯罪分子再針對同一名使用者,因為知道他們能夠支付贖金。此外,將系統保持在最新狀態也是必要措施,可以保護系統不被漏洞攻擊包影響。
趨勢科技的端點解決方案(如趨勢科技PC-cillin雲端版 !即刻免費下載、趨勢科技 OfficeScan™ 和Worry-Free Business Security)能夠偵測惡意檔案並封鎖所有相關惡意網址來保護使用者免於此一威脅。
@原文出處:CERBER: Crypto-ransomware that Speaks, Sold in Russian Underground作者:Rhena Inocencio(威脅反應工程師)
【延伸閱讀】
★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集
如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?
★看更多勒索軟體文章…….…….
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。