勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情!透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招!

近期 RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及常在 Facebook 臉書上被分享的一些內容農場網站文章之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。

勒索病毒簡介
勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種特殊的惡意軟體,受害者會失去對自己系統或資料的控制權(例如無法使用作業系統或是檔案被加密),如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒:將電腦裡的檔案加密,並且要求支付贖金。

感染勒索病毒後果
目前最流行的勒索病毒種類為加密型勒索病毒:將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話,遭到加密的檔案幾乎沒有辦法解密。
近來的一種勒索病毒還會限制付款時間,隨著螢幕上的紅色倒數計時,時間過越久就刪除越多檔案,贖金金額也會跟著提高,增加受害的的心理負擔。(詳情可參考:奪魂鋸勒索軟體JIGSAW

勒索軟體 petya_ransomware

 

近期感染勒索病毒(RANSOM_Waltrix or CryptXXX)災情嚴重主因 :惡意廣告
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少,遭受攻擊的軟體種類必會愈來愈多防不勝防,因此趨勢科技提醒您,請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

這篇報導:網頁廣告成勒索軟體散播溫床,紐約時報、BBC、MSN 皆中招,文中指出”攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索軟體 Ransomware

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報Google赫芬頓郵報等數不清的例子。

使用者經常會看到一些眼花撩亂 (甚至令人討厭) 的廣告,尤其當您必須先關閉這些廣告才能看到您要的影片或文章時,更覺得困擾。但這些網路廣告卻不光只是惱人而已,網路犯罪集團會經由這類廣告來散布惡意程式,進而感染瀏覽器和電腦。這就是所謂的「惡意廣告」,它們專門利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

感染勒索病毒的症狀
感染勒索病毒時,勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案,然後在電腦上放置Ransom Note檔案(支付贖金的說明檔案)。因此,當下列症狀出現時,就有可能就是遭到勒索病毒感染:

  • 發現不明對外連線
  • 發現各目錄下開始出現奇怪副檔名的檔案,例如:.crypt、.ECC、.AAA、.XXX、.ZZZ等等
  • 突然出現很多 Ransom Note檔案(支付贖金的說明檔案)或捷徑,通常是.txt檔或是.html檔,如下圖:
    raw0607
  • 在瀏覽器工具列發現奇怪的捷徑,如下圖:


raw0607-1

  • 防毒軟體持續跳出偵測到病毒的警訊。趨勢科技 OfficeScan™ 偵測到安全威脅/違規,會在電腦螢幕右下方出現彈出式視窗,視窗中說明偵測到哪種類型的安全威脅/違規。下圖中,OfficeScan偵測到147筆病毒/惡意程式。若是在短時間內,持續出現此類彈出式視窗,且偵測到的安全威脅數量持續增加,即可能是遭到勒索病毒感染的情形(因勒索病毒持續加密,持續產生Ransom Note,OfficeScan就會持續偵測到Ransom Note)。

raw0607-2

點按上圖中的偵測數字後,即可開啟偵測紀錄檔。如下圖,在偵測紀錄檔中若看到很多被偵測到的Ransom Note檔案(支付贖金的說明檔案),且持續增加,就代表可能已經感染勒索病毒,須馬上做緊急處理。

raw0607-3

中了勒索病毒怎麼辦?
在發現異狀的當下:

  • 立即切斷網路,避免將網路磁碟機或共享目錄上的檔案加密。
  • 立即關閉電腦電源:關閉電腦電源的目的是不讓勒索病毒繼續加密電腦中的檔案,關機時間愈快被加密的檔案愈少,建議強制關閉電腦電源
  • 保留電腦,通報資訊人員;
  • 不要付錢。

資訊人員的緊急處理措施:

  • 暫時停用帳號,暫時停止該帳號的網路存取權限
  • 檢查該帳號權限可寫入的共享資料夾是否遭受感染
  • 取出硬碟,透過另一台電腦備份尚未加密的檔案

找出勒索軟體侵入管道

利用趨勢科技採樣工具掃瞄,並後送趨勢科技進行分析。

如果時機已晚,勒索病毒已完全感染電腦並將檔案加密,可嘗試趨勢科技勒索病毒檔案解密工具。在此提醒您,此工具仍在持續改善中,並無法保證能將檔案解密救回。

 

面對勒索病毒的防範之道
面對如此恐怖的勒索病毒,趨勢科技建議採取三不三要:

  • 不上鉤:收到標題吸引人的郵件,務必停看聽
  • 不打開:不隨便打開Email附件檔案
  • 不點擊:不隨意點擊Email中的網址
  • 要備份:依據3-2-1原則妥善備份重要資料—在兩種不同媒介上建立三個備份,其中一個備份要放在不同地方
  • 要確認:打開Email前要確認寄件者身份
  • 要更新:作業程式、軟體、病毒碼要隨時保持更新狀態,當軟體廠商(例如Flash/SilverLight/IE)公布修補程式請盡快更新。
  • 最後,趨勢科技建議您安裝針對勒索病毒加強防護的資安軟體並時時保持更新。延伸閱讀:

追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載

 

主動出擊就是最佳的防禦

從 2015 年 10 月至今,趨勢科技已攔截一億次以上的勒索病毒威脅。一般家庭與個人用戶即刻採用趨勢科技 PC-cillin 2016 雲端版來主動防範勒索病毒進入您的電腦。免費體驗 >>

*Trend Labs,2016 年 4 月:99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊。
*Trend Labs,2016 年 4 月:99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊。

 

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數