勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:

 

勒索病毒Roza Locker 盯上遊戲玩家

勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群:遊戲玩家。Roza Locker(被偵測為RANSOM_ROZALOCK.A)是一種新的勒索病毒,針對俄語系的遊戲愛好者,會偽裝成電腦遊戲的安裝程式。開啟檔案之後,勒索病毒會要求提升權限好開始加密檔案。

Roza Locker是以.exe格式散布,開啟後會出現使用者帳戶控制視窗(UAC),要求受害者允許未知發布者對其系統進行變動。如果不允許就會拒絕存取,出現顯示「ПОИСК…」的新視窗(翻譯成「搜索」)。大概是要求使用者回到上一個視窗並允許存取。

如果使用者允許存取,就會加密選定的檔案類型,將檔案加上副檔名.enc。贖金設定為10,000盧布,大約是175美元。

除了加密外,Roza Locker還會終止並停用工作管理員,並且更改hosts檔案%system%\drivers\etc\hosts來阻止使用者連上某些網站。被惡意軟體封鎖的網站包括幾個合法俄羅斯網路遊戲網站及俄羅斯一些最大的網路安全廠商。

 

Kirk 使用數位貨幣門羅幣 Monero(XMR)付款而非一般的比特幣(Bitcoin)

以星際迷航(Star Trek)寇克艦長(Captain Kirk)命名(偵測為ROSOM_KIRK.A)的Krik的勒索病毒用Python所編寫,要求使用數位貨幣門羅幣 Monero(XMR)付款而非一般的比特幣(Bitcoin)。Monero號稱是更加私密的數位貨幣,地下犯罪分子已經開始喜歡用XMR作為付款方式。

保持著星際主題,Kirk偽裝成開放原始碼名為低軌道離子炮(LOIC)的網路壓力測試程式。下載後會掃描C磁碟來搜尋特定檔案類型進行加密;加密成功的檔案會加上副檔名.kirked。受害者被要求支付的贖金會隨著時間而逐漸增加,最高會突破500XMR,約為10,360美元。

Kirk勒索病毒的另一變種名為Lick(也被偵測為Ransom_KIRK.A),會偽裝成勒索病毒解密程式。它針對相同的檔案,具備相同的程序,並對受害者要求相同的Monero金額。被加密檔案的副檔名為.licked。

 

「Revenge」勒索病毒(偵測為RANSOM_CRYPAURA.RVG)透過Rig漏洞攻擊套件派送

3月現身的CryptoMix變種CryptoShield經由漏洞攻擊套件來派送。現在一個更新的變種稱為「Revenge」勒索病毒(偵測為RANSOM_CRYPAURA.RVG)透過Rig漏洞攻擊套件派送,這是目前各式勒索病毒採用的活躍攻擊套件之一

Revenge會將被加密檔案加上.revenge副檔名,並留下一則簡短直接而沒有包含時限、贖金甚至威脅訊息的勒贖通知。它只說檔案可以被回復,要求受害者透過電子郵件來取得更多指示。勒贖通知以多種語言寫成:英文、義大利文、德文、波蘭文和韓文。

 

Karmen RaaS偽裝成名為「Helper」應用程式,只要付錢還幫你加密別人電腦

延續之前的討論,又出現兩個基於開放原始碼專案的勒索病毒。MacandChess勒索病毒(偵測為RANSOM_HIDDENTEARMNC.A)似乎還處在起步階段,因為只針對20種檔案類型進行加密,大部分是文件和圖檔。Karmen勒索病毒(偵測為RANSOM_HIDDENTEARKARMEN.A)則更複雜一點。

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)

供需法則對勒索病毒的商業模式也同樣適用。趨勢科技在長期監控各種地下市集的過程當中發現,勒索病毒的價格經常波動。2012 年,勒索病毒即服務(RaaS) (類似今日的 RaaS 方案) 在俄羅斯網路犯罪地下市集的價格大約只有 10 至 20 美元。此價格包含一個用來「癱瘓電腦作業系統」的 Windows 惡意程式,但不包含可讓歹徒挾持電腦資料的功能,,此外,勒索病毒的需求在當時也不如今日這麼高,這也是為何當時的價格比現在便宜許多。

圖 1:Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權
勒索病毒 Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權

 

Karmen 即以勒索病毒即服務(RaaS)的模式出現,在地下論壇大打廣告,宣稱只要支付 175 美元就能藉由該服務發動攻擊,開發者管理命令和控制伺服器、處理付款以及和下游派送商拆帳。

Karmen RaaS偽裝成名為「Helper」的應用程式,一旦安裝就會執行典型的勒索病毒行為。它會將被加密檔案加上.grt的副檔名,並且要求用比特幣支付贖金。

勒索病毒會不斷找出新方法來捕捉受害者,使用新的派送系統以及透過更私密的付款方式來支持他們的活動,使用者必須保持小心警慎。有效的安全解決方案可以保護他們的數位資產免於勒索病毒的威脅。

 

@原文出處:Ransomware Recap: New Disguises and a Change of Cryptocurrency


 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數