Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!

< 2016/10/12更新 >最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber 勒索病毒,趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

---

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（勒索軟體即服務也就是RaaS）。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最新版本的Cerber具備之前版本的功能，像是會念出勒索訊息。跟之前的版本相似，Cerber 3.0會利用Magnitude和Rig漏洞攻擊套件散播。

使用者通常會在點擊播放影片後，被跳出視窗導到漏洞攻擊套件的伺服器,最後會下載 Cerber勒索病毒。這惡意廣告攻擊活動已經影響了好幾個國家，主要集中在台灣。

Magnitude會簡單的利用重新導向腳本。而Rig則會開啟正常網站,比如某服飾網站截圖，也許是為了讓廣告看起來不那麼可疑。

圖1、Rig漏洞攻擊連鎖行為

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

 

圖2、Magnitude漏洞攻擊連鎖行為

 

除了這些差別外，Cerber仍然一樣。所用的勒贖通知用語跟之前的版本基本保持不變：

圖3、Cerber 3.0勒贖通知

 

Cerber 3.0版本提供五天限期「折扣優惠」

付款說明也跟之前的版本類似，甚至提供「折扣優惠」。也許是為了反應比特幣匯率的不斷變化，要求的金額也有所變化。在第一個版本中，Cerber要求1.24 比特幣（在2016年3月4日約為523美元），並且會給受害者七天的時間。Cerber 3.0要求馬上支付1比特幣，超過五天，則會加倍到 2比特幣。

 

圖4、Cerber 3.0勒贖通知

 

加密檔案會被加上.cerber3的副檔名。陰影複製（Shadow Copy）也會被勒索病毒刪除，以防止用此功能來回復備份。它也會用女性聲音讓使用者知道他們的檔案已經被加密，就跟Cerber初版一樣。

 

 

解決方案和做法

最根本的勒索病毒防禦做法還是備份。有了適當的備份策略，企業就不用擔心可能發生的資料遺失。最起碼，應該要定期備份重要檔案。遵循 3-2-1 原則法則，三個副本存放在兩種不同設備上，一個要放在安全的地方。

防禦惡意廣告（和漏洞攻擊工具）的良好做法是保持軟體在最新狀態和安裝所有安全修補程式。這會減少遭遇各種攻擊的風險而不只是勒索病毒。這包括作業系統和任何應用程式。此外，能夠主動防禦攻擊系統內軟體漏洞的安全解決方案也是必須的。

趨勢科技提供解決方案能夠在各個層面保護使用者和組織 – 閘道、端點、網路甚至是伺服器。

 

保護企業

電子郵件和閘道防護 趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector 和InterScan™ Web Security  I可以防禦常被用來散播勒索病毒的管道，如電子郵件和網頁。 魚叉式網路釣魚防護  惡意軟體沙箱  IP/網頁信譽評比技術 檔案漏洞攻擊偵測	端點防護 趨勢科技Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。 勒索病毒行為監控 應用程式控管 漏洞防護 網頁安全
網路保護 趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。 網路流量掃描 惡意軟體沙箱 防止橫向移動	伺服器防護 趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。 保護網頁伺服器 漏洞防護 防止橫向移動

 

保護中小企業和家庭用戶

保護中小型企業 Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護，偵測和封鎖勒索病毒。 ü  勒索病毒行為監控 ü  IP/網頁信譽評比技術

保護家庭用戶 趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。 ü  IP/網頁信譽評比技術 ü  勒索病毒防護

 

以下SHA1雜湊值與此次攻擊有關：

• C60AB834453E6C1865EA2A06E4C19EA83982C1F9 – 偵測為DLEY
• E9508FA87D78BC01A92E4FDBCD3D14B2836BC0E2 – 偵測為DLEZ

 

@原文出處：New Version of Cerber Ransomware Distributed via Malvertising 作者：Joseph C Chen（網路詐騙研究員）
基本

 

 

 

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼