針對人事部的勒索病毒: GoldenEye (黃金眼) ,夾帶 PDF 或 Excel假履歷誘點擊

00_去年三月趨勢科技研究團隊發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware ),透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

該病毒會讓電腦出現藍色當機畫面,並且在電腦重新開機時,出現不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

 

上個月GoldenEye (黃金眼) 勒索病毒 Ransomware (勒索軟體/綁架病毒) (趨勢科技命名為 RANSOM_GOLDENEYE.A)發動了一波波的攻擊,尤其特別針對企業的人事部門。GoldenEye 其實是 Petya (RANSOM_PETYA) 和 Mischa (RANSOM_MISCHA) 兩個勒索病毒的合體

假冒求職信,偽裝履歷表的PDF 檔案,會覆寫系統硬碟的主要開機磁區 (MBR)

GoldenEye 如同 Petya 和 HDDCryptor 一樣,會覆寫系統硬碟的主要開機磁區 (MBR),此外也會假冒成求職信件,且信件同樣是挾帶了偽裝成履歷表的惡意 PDF 檔案與暗藏惡意巨集的 Excel 試算表 (XLS)。

圖 1:GoldenEye 假冒成履歷表的 PDF 檔案 (左) 與挾帶 XLS 檔案的垃圾郵件 (右)。

Cerber勒索病毒仿冒品,假冒警察指控涉及詐騙

還有另一波垃圾郵件攻擊讓遭到勒索的受害者禍不單行。歹徒精心製作了一封假冒來自科隆 (Cologne) 市警局網路犯罪科所寄來的郵件。內容指控收件者涉及了一樁詐騙,迫使收件人開啟信件隨附的 .ZIP 檔案,但該檔案卻暗藏一個含有惡意巨集的 Word® 檔案 (W2KM_CERBER.DLBZY),該巨集會執行某個 Cerber (RANSOM_HiddenTearCerber.A) 勒索病毒的仿製品。從這個仿製的勒索病毒我們看到了另一股趨勢,那就是有些勒索病毒品種專門模仿其他家族 (如 CryptXXX、Locky 和 Cerber 勒索病毒) 的程式介面,希望能藉助其聲望來快速致富。

這款模仿 Cerber 勒索病毒的惡意程式是從 Hidden Tear 開放原始碼勒索病毒衍生而來,並且為了躲避偵測,共有三種不同版本。它所加密的檔案類型有 128 種,此外還會擷取受害系統硬碟的磁卷序號,並且在被加密的檔案名稱末端加上一個 .cerber 副檔名。

圖 2:Hidden Tear Cerber 的勒索訊息。

 

 

延伸閱讀:偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊

 

 

 

 

PC-cillin 2017雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

原文出處:Recent Spam Runs in Germany Show How Threats Intend to Stay in the Game 作者:Alice Decker、Jasen Sumalapao 與 Gilbert Sison

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數