Cerber勒索病毒利用雲端平台,感染家庭用戶和企業


Cerber勒索病毒
利用雲端平台來感染家庭用戶和企業,雖然這些平台跟桌面系統是同樣地安全,但鑑於CERBER的社交工程技倆,比如偽裝成收據或債務本票,建議使用者要停用Office程式的巨集功能,開啟未知或可疑寄件者的郵件附件檔時要謹慎小心,好的備份策略也可以有效的對抗勒索病毒

隨著雲端服務日漸被一般使用者採用,網路犯罪分子也同樣地想辦法來濫用它們,利用它們來散播惡意軟體。相對地,惡意分子也希望透過攻擊企業所採用的雲端生產力平台來將處理敏感企業資料的用戶變成受害者,當資料無法存取時就會對業務運作造成嚴重的影響。

一個典型的例子:CERBER勒索病毒 Ransomware (勒索軟體/綁架病毒),它的最新變種被趨勢科技偵測為RANSOM_CERBER.CAD,被發現會針對微軟的雲端辦公室方案:Office 365的使用者,特別是家庭用戶和企業。

CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。
CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。

 

Cerber 是少數利用電腦語音念出勒贖通知的勒索病毒

自從三月出現肆虐以來,CERBER勒索病毒家族也有所更新,加入了新功能,如分散式阻斷服務攻擊 (DDoS)攻擊及利用雙重壓縮Windows腳本檔案(WSF)來躲避啟發式分析並繞過垃圾郵件(SPAM)過濾程式。身為少數利用電腦語音念出勒贖通知的勒索病毒是它的獨特之處,它的原始碼甚至在俄羅斯地下市場內以勒索病毒即服務(Ransomware-as-a-Service)的商業模式交易,好讓網路犯罪運作賺更多的黑心錢。這惡意軟體主要透過惡意廣告活動加上Nuclear漏洞攻擊套件的攻擊組合來散播。

Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。
Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。

 

CERBER的最新變種針對Office 365用戶,誘騙使用者手動啟用嵌入在文件內的巨集

CERBER的最新變種透過帶有惡意巨集附件的垃圾郵件來針對Office 365用戶,而微軟的Office 365及本機版本的Office應用程式都具備有安全措施,其中之一就是預設停用巨集功能,以防止巨集惡意軟體感染系統。跟其他勒索病毒一樣,CERBER依賴使用者來繞過這個安全功能,利用社交工程social engineering手法誘騙使用者手動啟用嵌入在文件內的巨集。

 

啟用文件內的巨集(W2KM_CERBER.CAD)會產生用VBS編碼的木馬下載程式(VBS_CERBER.CAD),它會從惡意網址取得RANSOM_CERBER.CAD

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

 

CERBER變種可以用AES-265加上RSA來加密442種檔案類型、修改本機Internet Explorer區域設定、刪除磁碟區陰影複製、停用Windows啟動修復,並且終止Outlook、The Bat!、Thunderbird和微軟Word的程序。在查詢受影響系統所在國家,如果發現是位在獨立國協的國家,勒索病毒就會終止自己。

 

Cerber 解密惡意巨集的部份程序,包括指令去產生木馬下載程式(VBS_CERBER.CAD)到%Application Data%\{random file name}.vbs。這個木馬會將下載來的檔案儲存為%Application Data%\{random file name}.tmp。
Cerber 解密惡意巨集的部份程序,包括指令去產生木馬下載程式(VBS_CERBER.CAD)到%Application Data%\{random file name}.vbs。這個木馬會將下載來的檔案儲存為%Application Data%\{random file name}.tmp。

 

趨勢科技從2016年五月就看到帶有 CERBER 的垃圾郵件。在六月有明顯的激增:從五月看到超過800封垃圾郵件到六月看到超過12,000封,尖峰出現在6月22日,有超過9,000封 CERBER 相關垃圾郵件出現,這個新 CERBER變種還會利用Rig和Magnitude漏洞攻擊套件,這兩者最近都被報導利用零時差漏洞和散播其他勒索病毒家族。

勒索病毒作者(如CERBER)會繼續使用新戰術來提升他們惡意軟體的散布率,這次他們利用雲端平台來感染家庭用戶和企業,雖然這些平台跟桌面系統是同樣地安全,但鑑於CERBER的社交工程技倆,建議使用者要停用Office程式的巨集功能,開啟未知或可疑寄件者的郵件附件檔時要謹慎小心,好的備份策略也可以有效的對抗勒索病毒。

 

趨勢科技的解決方案:

趨勢科技的Cloud App Security for Office 365(CAS)可以協助加強Office 365應用程式和其他雲端服務的安全性,利用進階的沙箱惡意軟體分析功能來處理勒索病毒和其他進階威脅。CAS使用文件漏洞偵測來發現內嵌在Office檔案的隱藏惡意軟體,而趨勢科技Deep Discovery進階網路安全防護使用行為分析來偵測未知惡意軟體。CAS提供微軟Office 365安全措施多一層的防護,到今天為止,CAS已經偵測並封鎖阻止超過四百萬筆額外的惡意檔案和網址。

CAS也會掃描內部電子郵件來發現試圖利用受感染使用者帳號或設備來在企業網路內部散播的惡意郵件。CAS透過API來直接跟Office 365等雲端服務整合,保存了應用程式的使用者和管理特性和功能。

企業可以利用多層次,一步一步的方式來解決這些威脅帶來的風險。電子郵件和網頁閘道解決方案如趨勢科技的Deep Discovery Email InspectorInterScan Web Security防止勒索病毒到達使用者。在端點層級,趨勢科技的Smart Protection Suites提供應用程式控制、漏洞防護和高效能的安全解決方案在多個層面利用各種反惡意軟體技術來對抗勒索病毒和其他攻擊。趨勢科技的Deep Discovery Inspector可以偵測並封鎖網路上的勒索病毒,趨勢科技的Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或是雲端。

ZH-TW_wtp

趨勢科技也提供中小企業安全解決方案,透過Worry-Free Pro cloud security,行為監控以及設備和電子郵件的即時網頁信譽評比。趨勢科技PC-cillin雲端版提供家庭用戶強大的防護來對抗勒索病毒和其他惡意軟體,封鎖惡意網站、電子郵件和相關檔案。

 

相關雜湊值:

  • 55852EE512521BB189C59405435BB0808BCB26D2 – VBS_CERBER.CAD
  • 8D8E41774445096B68C702DC02E6B2F49D2D518D – W2KM_CERBER.CAD
  • C8F3F0A33EFE38E9296EF79552C4CADF6CF0BDE6 – Ransom_CERBER.CAD

 

 

@原文出處:Cerber: A Case in Point of Ransomware Leveraging Cloud Platforms


cloudsec FB banner

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

PCC TL 20160905

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數