最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber勒索病毒, 趨勢科技也發現,十月以來有數個漏洞攻擊套件大量散播新變種 Cerber4.0。趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告(比如某服飾網站,或是如下文的賭場廣告)進行攻擊,而且衍生出變種。
感染案件遽增的原因是駭客透過惡意廣告發動攻擊
所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。
此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在FaceBook上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況。
兩個重要提醒:
提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:
1.更新作業系統或應用程式的修補程式,例如Flash/IE等
2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能。
就算使用者已被訓練成對執行檔或壓縮檔保持警戒,也很可能不小心開啟 Word 附件檔案,尤其是一封封量身訂做的社交工程信件,比如針對人事部門的假冒應徵者履歷表。提醒您若收到這類信件或附檔.請不要任意開啟巨集以避免中毒。
Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台和Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(「勒索病毒即服務」(Ransomware as a Service,簡稱 RaaS))。
▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢
趨勢科技發現某些 Cerber 變種會在受害者點擊播放影片後,跳出視窗導到漏洞攻擊套件的伺服器,然後下載 Cerber勒索病毒。
有粉絲在趨勢科技粉絲頁留言:
“最近我同事只是追劇而已就中招,整個電腦資料全毀….”
這並不是個案,無獨有偶的是也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。
▍延伸閱讀 ▍
Cerber勒索病毒利用雲端平台,感染家庭用戶和企業
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
十月以來 Cerber4.0 大量散播,透過惡意廣各,漏洞攻擊套件,中毒網站迅速蔓延中……
趨勢科技發現三組惡意廣告活動和一組網站攻擊活動會散播Cerber 勒索病毒 4.0(趨勢科技偵測為Ransom_CERBER.DLGE),就在Cerber 3.0出現後的一個月。這最新Cerber變種的詳細資訊可以參考安全研究專家Kafeine所做的勒索病毒Ransomware(勒索軟體/綁架病毒)惡意廣告研究。
►《延伸閱讀》Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!
新版本不同的地方包括將勒贖通知從html轉成.hta格式。勒索病毒作者也不再只用「.cerber3」作為被加密檔案的延伸檔名,而改成每次感染都隨機生成字串作為新的延伸檔名。看到Cerber 4.0自10月初開始散播以來的迅速發展,可見此次升級似乎頗受網路犯罪分子關注。
Cerber4.0在自我的 “促銷”宣傳中,強調每周提供5個加密程式,包含13種語言, 加密檔案使用隨機延伸檔名,更新加密演算法。
Cerber 4.0迅速蔓延管道1:惡意廣告, 推送到亞洲,特別是台灣
兩組較老的惡意廣告活動也會散播Cerber 4.0。一組惡意廣告活動使用Magnitude漏洞攻擊套件,它長期以來散播Cerber。Magnitude在10月3日升級,持續將Cerber 4.0推送到亞洲國家,特別是台灣、韓國、香港、新加坡和中國。
第二個惡意廣告活動通常會利用假的賭場廣告,研究人員之前發現它散播Andromeda或Betabot(趨勢科技偵測為Neurevt)惡意軟體給許多國家。10月4日,趨勢科技的研究人員看到它將散播的惡意軟體也變更為Cerber 4.0。這是我們第一次偵測到它散播Cerber 4.0,它使用的是RIG漏洞攻擊套件 – 這是另一個之前跟Cerber有關聯的漏洞攻擊套件。
假的賭場廣告
Cerber 4.0迅速蔓延管道2:Neutrino漏洞攻擊套件,台灣是主要攻擊目標之一
趨勢科技在9月8日首次發現一組新的惡意廣告活動會散播Cerber 3.0,它在10月3日升級成Cerber 4.0。它的攻擊對象包含台灣、韓國、美國、德國和西班牙。有趣的是,儘管Neutrino團隊聲稱已經停止服務,但這惡意廣告活動利用了Neutrino漏洞攻擊套件來散播這個勒索病毒。安全研究專家Kafeine報導過一則來自Neutrino帳號在9月9日的訊息:「我們已經關閉,不提供新租約,不提供延期」。雖然看起來Neutrino已經退出;但有人猜測這是該團隊怕被網路安全公司暴露。另一個理論是他們已經進入「私人」模式,這意味著漏洞攻擊套件只提供給較大規模運作的VIP客戶。
圖、Neutrino惡意廣告提供Cerber勒索病毒
Cerber 4.0迅速蔓延管道3:中毒網站
正如我們之前所報導,Cerber已經成為2016年最受注目的勒索病毒家族之一。它具備多種功能,通常作為服務(「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)買賣 – 即使是之前的版本也在地下市場作為RaaS銷售。Cerber的快速更新讓它成為數個漏洞攻擊套件常散播的惡意軟體。這跟趨勢科技的研究一致,漏洞攻擊套件會持續用新勒索病毒進行攻擊。
一個使用最新版本Cerber的攻擊活動是PseudoDarkleech,這攻擊活動會不斷地變化,主要透過中毒網站來散播勒索病毒。它之前會散播CrypMIC和CryptXXX,但趨勢科技的研究人員指出,PseudoDarkleech從10月1日就換成Cerber 4.0。
這版本的 PseudoDarkleech會將RIG漏洞攻擊套件連結注入中毒網站
另一波 PseudoDarkleech會將訪客導到重新導向伺服器,這會將他們導向RIG漏洞攻擊套件
惡意廣告用 RIG漏洞攻擊套件派送新Cerber勒索病毒
解決方案和策略
- 勒索病毒 Ransomware不停進化,最根本的防禦是具備好的備份策略。所謂的備份並不是把C槽備份到D槽,而應該要遵循 3-2-1 原則:至少備份3份,使用2種以上的儲存媒體,其中1份要存放在異地。只要有定期的備份,資料損失是可控制的。
網路犯罪分子在不斷地開發和改進惡意廣告和漏洞攻擊套件,因此保持軟體更新跟安裝最新的安全修補程式對一般用戶和企業來說都非常重要。這包含了作業系統和會使用的所有應用程式。確保安裝提供主動全面性防禦的安全系統來防護攻擊者利用新漏洞。
趨勢科技提供閘道、端點、網路甚至伺服器端的解決方案,以保護企業和消費者。
@原文出處:Several Exploit Kits Now Deliver Cerber 4.0 作者:Joseph C Chen(網路詐騙研究員)
感染勒索病毒的症狀
感染勒索病毒時,勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案,然後在電腦上放置Ransom Note檔案(支付贖金的說明檔案)。因此,當下列症狀出現時,就有可能就是遭到勒索病毒感染:
- 發現不明對外連線
- 發現各目錄下開始出現奇怪副檔名的檔案,例如:.crypt、.ECC、.AAA、.XXX、.ZZZ等等
- 突然出現很多Ransom Note檔案(支付贖金的說明檔案)或捷徑,通常是.txt檔或是.html檔,如下圖:
- 在瀏覽器工具列發現奇怪的捷徑,如下圖:
趨勢科技的勒索病毒解決方案
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。