近日出現兩隻值得注意的勒索病毒 Ransomware (勒索軟體/綁架病毒) – Snatch和Zeppelin。Snatch勒索病毒可以強迫Windows電腦重新啟動進入安全模式。而Zeppelin勒索病毒則感染了歐洲和美國的醫療和IT公司。
Snatch勒索病毒重啟電腦進入安全模式來躲避安全防護
Snatch會重新啟動受感染電腦進入安全模式來繞過安全軟體以加密檔案而不被偵測。這樣做的原因是安全軟體通常不會在Windows安全模式下執行,因為此模式是用來除錯和回復有問題的作業系統(OS)。
研究人員發現勒索病毒作者利用Windows登錄檔來排程一個名為SuperBackupMan的Windows服務,此服務可以在安全模式下執行,無法被停止或暫停。此惡意軟體甚至會進一步刪除系統上所有的磁碟區陰影複製來防止鑑識回復加密檔案。
Snatch勒索病毒最早於2018年被發現,它的目標並不是家庭使用者,也沒有利用垃圾郵件或瀏覽器漏洞等大規模散播方式。此惡意軟體操作者只專注在小部分的目標,包括公司和政府組織。操作者還會在駭客論壇上招募駭客來從目標組織竊取資訊。
Zeppelin勒索病毒針對歐洲和美國的醫療和IT公司
Zeppelin是VegaLocker/Buran勒索病毒的新變種,被發現會透過針對性安裝感染位於歐洲和美國的公司。根據BlackBerry Cylance的報導,Zeppelin勒索病毒屬於勒索病毒即服務(RaaS)模式,被發現感染了某些醫療和IT公司。
Zeppelin勒索病毒似乎有很高的可設定性,可以部署為.dll或.exe檔案,也可以封裝進PowerShell載入器。除了會加密檔案外,它還會終止許多種程序,包括了備份、資料庫和郵件伺服器相關的程序。Zeppelin執行檔經過三層混淆技術封裝。它的勒贖通知從一般通用訊息到為特定組織量身定制的詳細說明都有。值得注意的是,Zeppelin勒索病毒似乎沒有被大量散播 – 或至少尚未發生。
研究人員認為Zeppelin類似於Sodinokibi勒索病毒,透過託管服務商(MSP)散播以進一步影響客戶。此外,勒索病毒還可以透過惡意廣告和水坑攻擊散播。
如何抵禦勒索病毒?
除了保持作業系統在最新狀態來消除會被攻擊的漏洞外,使用者還應採用3-2-1 備份原則的資料備份最佳實作。同時使用者可以部署全面性的多層次安全解決方案來防止來自不同進入點的勒索病毒攻擊。使用者和組織可以採取下列措施來防範勒索病毒攻擊:
- 保護會面向網路開放的端口和服務
- 啟用多因子身份認證來保護管理員帳號抵禦可能的暴力破解攻擊
- 防護遠端存取工具,它們可能會被用作進入點
- 採用最小權限原則並且定期監視網路內的威脅
- 定期執行密碼稽核來加強存取控制
趨勢科技解決方案(如Smart Protection Network™和Worry-Free Business Security)具備行為監測功能,可以偵測惡意檔案、腳本和郵件並封鎖所有相關網址來保護使用者和企業抵禦此類威脅。趨勢科技的XGen安全防護技術提供跨世代的混合威脅防禦技術來對抗端點,網路,伺服器以及閘道所會面臨的各種威脅。它融合了高保真機器學習(Machine learning,ML)與其他偵測技術和全球威脅情報來全面性的防禦進階惡意軟體。
入侵指標(IoC)
Snatch勒索病毒
| SHA-256 | 趨勢科技預判式機器學習偵測 | 趨勢科技病毒碼偵測 |
| 081fb13b0f7ee9750c2ea3ae037a29ec87a313b99a693027d42021cfda869fd8 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| 78816ea825209162f0e8a1aae007691f9ce39f1f2c37d930afaf5ac3af78e852 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| d0ddc221b958d9b4c7d9612dd2577bec35d157b41aa50210c2ae5052d054ff33 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| c81b5271551d526d881bd5840256ea9168e3be0c13695a827195e3c56f524457 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| fe8ba1eaf69b1eba578784d5ab77e54caae9d90c2fb95ad2baaaef6b69a2d6cb | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| ebcded04429c4178d450a28e5e190d6d5e1035abcd0b2305eab9d29ba9c0915a | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| e8931967ed5a4d4e0d7787054cddee8911a7740b80373840b276f14e36bda57d | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| 5f24536e48f406177a9a630b0140baadff1e29f36b02095b25e7e21c146098bb | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| eebc57e9e683a3c5391692c1c3afb37f3cb539647f02ddd09720979426790f56 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| 25e0cff6bb669ed31b8ddaf46807ed5bc74a6dac05151db291ac0b6a74a0a015 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| 28125dae3ab7b11bd6b0cbf318fd85ec51e75bca5be7efb997d5b950094cd184 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| 80cc8e51b3b357cfc7115e114cecabc5442c12c143a7a18ab464814de7a66ab4 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| 0ce4c4af321ff02928aacf105f03dead87e85003080586615755f278770f5adb | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| 36a4311ef332b0b5db62f8fcabf004fdcfbbde62f791839a8be0314604d814c4 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| 329f295b8aa879bedd68cf700cecc51f67feee8fd526e2a7eab27e216aa8fcaa | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| ab6b0d00ba8f8553c015743b9da8761a9b1fca750d3f73bda573a8fbc47dafa1 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
| 63c2c1ad4286dbad927358f62a449d6e1f9b1aa6436c92a2f6031e9554bed940 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win64.SNATCH.AB |
| c0f506e98f416412b3a9dcd018341afab15e36b15bac89d3b02ff773b6cc85a6 | Troj.Win32.TRX.XXPE50FFF033 | Ransom.Win32.SNATCH.B |
Zeppelin勒索病毒
| SHA-256, 惡意網址和郵件地址 | 趨勢科技病毒碼偵測 |
| 04628e5ec57c983185091f02fb16dfdac0252b2d253ffc4cd8d79f3c79de2722 | Ransom.Win32.ZEPPELIN.A |
| 39d8331b963751bbd5556ff71b0269db018ba1f425939c3e865b799cc770bfe4 | Ransom.Win32.ZEPPELIN.A |
| 4894b1549a24e964403565c61faae5f8daf244c90b1fbbd5709ed1a8491d56bf | Ransom.Win32.ZEPPELIN.A |
| e22b5062cb5b02987ac32941ebd71872578e9be2b8c6f8679c30e1a84764dba7 | Ransom.Win32.ZEPPELIN.A |
| 1f94d1824783e8edac62942e13185ffd02edb129970ca04e0dd5b245dd3002bc | Ransom.Win32.ZEPPELIN.A |
| d61bd67b0150ad77ebfb19100dff890c48db680d089a96a28a630140b9868d86 | Ransom.Win32.ZEPPELIN.A |
| hxxps://iplogger.org/1HVwe7[.]png | |
| hxxps://iplogger.org/1HCne7[.]jpeg | |
| hxxps://iplogger.org/1Hpee7[.]jpeg | |
| hxxps://iplogger.org/1syG87 | |
| hxxps://iplogger.org/1H7Yt7[.]jpg | |
| hxxps://iplogger.org/1wF9i7[.]jpeg | |
| bad_sysadmin@protonmail[.]com | |
| Vsbb@firemail[.]cc | |
| Vsbb@tutanota[.]com | |
| buratino@firemail[.]cc | |
| buratino2@tutanota[.]com | |
| ran-unlock@protonmail[.]com | |
| ranunlock@cock[.]li | |
| buratin@torbox3uiot6wchz[.]onion |