隨著新的一年到來,各個勒索病毒 Ransomware (勒索軟體/綁架病毒)也出現了新變種。Clop勒索病毒已經進化並整合了終止程序的功能來針對Windows 10應用程式及各類軟體。DeathRansom最初的版本只是偽裝成勒索病毒,現在已能真正的加密檔案。而就如美國聯邦調查局(FBI)所發出的警訊,Maze勒索病毒越來越針對美國公司來竊取和加密資料。
三隻勒索病毒變種再進化:Clop、DeathRansom和Maze(迷宮)
最新的Clop勒索病毒已經演變成可以在進行加密行為前先終止總共663種Windows程序,包括了Windows 10和Microsoft Office應用程式。勒索病毒在加密檔案前先終止程序並不罕見。一些攻擊者甚至會停用安全軟體來躲避偵測。此動作可能代表某些被終止程序的軟體設定檔成為了加密的目標,或是攻擊者只是想確保惡意軟體先關閉盡可能多的檔案好成功進行加密。
Clop勒索病毒變種在進行加密前會先執行一支用來終止程序的程式。針對的目標程序包括在受感染系統上執行的除錯器、文字編輯器及開發用的IDE和語言。安全研究員Vitali Kremez在他的GitHub儲存庫裡列出了被終止程序的完整列表。
Clop原先是CryptoMix勒索病毒系列的變種。之後據報被改進調整來攻擊整個網路而不只是單一電腦,甚至會試著停用Windows Defender及其他安全工具。在去年12月,這勒索病毒攻擊了荷蘭馬城大學幾乎所有的Windows系統。
DeathRansom 勒索病毒從假的勒索病毒變成真正的加密勒索病毒
最初只被當成是個笑話,但現在發現DeathRansom已經能夠加密檔案。
DeathRansom最原先的版本只是偽裝成勒索病毒但未加密任何東西。運營者透過將目標所有的檔案加上副檔名並在電腦上留下勒贖通知來欺騙使用者。但使用者只要移除被加上的.wctc副檔名就可以重新正常使用檔案。
但新版本就不同了。Fortinet研究人員發表了兩部曲的分析報告,描述DeathRansom現在如何成為真正的勒索病毒在運作。該變種的加密方式結合了ECDH金鑰交換的Curve25519演算法、Salsa20、RSA-2048、AES-256 ECB以及一個簡單的區塊XOR演算法。DeathRansom目前通過網路釣魚活動散播。
FBI發出警訊:Maze勒索病毒結合了資料竊盜及加密功能
美國聯邦調查局(FBI)發布了關於Maze勒索病毒一連串攻擊的安全通報,這些攻擊大量地集中在美國公司,竊取其資訊,然後將檔案加密來進行勒索。
這份警報在2019年12月下旬發出,指出該局在去年11月首次觀察到此勒索病毒針對美國受害者。成功入侵網路後,攻擊者會在加密電腦和網路共享磁碟前先取出公司檔案。接著攻擊者會根據目標來指定換取解密金鑰的贖金。
Maze勒索病毒會用各種方法入侵網路,包括偽造虛擬貨幣網站、垃圾郵件活動,甚至是使用漏洞攻擊工具套件。Maze勒索病毒的運營商曾經釋出沒有支付贖金對象的被竊資料,這些目標從美國城市的電腦系統到電線電纜製造商都有。
如何防範勒索病毒?
組織可以將系統和應用程式保持在最新版本並使用多因子身份認證來加強抵禦勒索病毒的能力。萬一遭受勒索病毒感染,我們建議你不要支付贖金,因為這並不能保證能夠回復被加密的檔案,同時可能會鼓勵惡意分子進一步攻擊組織。使用者和組織可以採取下列措施來抵禦勒索病毒:
- 遵循3-2-1 備份原則來建立有效的備份策略
- 在整個網路內採用強密碼
- 考慮進行網路分段,將重要程序及系統與一般大量使用的網路區隔開
- 加強對勒索病毒散播方式的認識,如會透過垃圾郵件和附件檔散播
- 監視和稽查網路流量來確認是否存在可疑的行為或異常狀況
趨勢科技解決方案(如Smart Protection Suite和Worry-Free Business Security)具備行為監控能力,能夠偵測惡意檔案、腳本和郵件及封鎖所有相關惡意網址來保護使用者和企業抵禦此類威脅。趨勢科技的XGen安全防護技術提供跨世代的混合式威脅防禦技術,能夠應對端點,網路,伺服器以及閘道所面臨的各種威脅。它融合了高保真機器學習(Machine learning,ML)與其他偵測技術再加上全球威脅情報,能夠全面性地防禦進階惡意軟體。
加入趨勢科技 IG 帳號, 3C 冷知識/ 3C Fun 新聞 不定時 Fun 映
💝▎每月7 日下午 4 點 , Fun 送粉絲獨享禮 ▎💝
本月送出威秀電影票十組(每組 2 張) 快進來看看 🙂
入侵指標(IoC)
Clop
相關雜湊值
2ceeedd2f389c6118b4e0a02a535ebb142d81d35f38cab9a3099b915b5c274cb – 偵測為Ransom.Win32.CLOP.SMK
a867deb1578088d066941c40e598e4523ab5fd6c3327d3afb951073bee59fb02 – 偵測為Ransom.Win32.CLOP.THCODAI
相關電子郵件地址
kensgilbomet@protonmail[.]com
unlock@eqaltech[.]su
unlock@royalmail[.]su
DeathRansom
相關雜湊值
6247f283d916b1cf0c284f4c31ef659096536fe05b8b9d668edab1e1b9068762 – 偵測為Ransom.Win32.DEATHRANSOM.C
ab828f0e0555f88e3005387cb523f221a1933bbd7db4f05902a1e5cc289e7ba4 – 偵測為Ransom.Win32.DEATHRANSOM.C
fedb4c3b0e080fb86796189ccc77f99b04adb105d322bddd3abfca2d5c5d43c8 – 偵測為Ransom.Win32.DEATHRANSOM.C
66ee3840a9722d3912b73e477d1a11fd0e5468769ba17e5e71873fd519e76def – 偵測為Ransom.Win32.DEATHRANSOM.C
0cf124b2afc3010b72abdc2ad8d4114ff1423cce74776634db4ef6aaa08af915 – 偵測為Ransom.Win32.DEATHRANSOM.C
4bc383a4daff74122b149238302c5892735282fa52cac25c9185347b07a8c94c – 偵測為Ransom.Win32.DEATHRANSOM.C
2b9c53b965c3621f1fa20e0ee9854115747047d136529b41872a10a511603df8 – 偵測為Ransom.Win32.DEATHRANSOM.C
05b762354678004f8654e6da38122e6308adf3998ee956566b8f5d313dc0e029 – 偵測為Ransom.Win32.DEATHRANSOM.C
f78a743813ab1d4eee378990f3472628ed61532e899503cc9371423307de3d8b – 偵測為Ransom.Win32.DEATHRANSOM.C
13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1 – 偵測為Ransom.Win32.DEATHRANSOM.C
dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4 – 偵測為Trojan.Win32.DEATHRANSOM.A
7c2dbad516d18d2c1c21ecc5792bc232f7b34dadc1bc19e967190d79174131d1 – 偵測為Ransom.Win32.DEATHRANSOM.THKBOAIA
e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06 – 偵測為TSPY_EVRIAL.SMA
a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284 – 偵測為TROJ_DELF.XXWS
1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251 – 偵測為Coinminer_MALXMR.SMBM-WIN32
相關惡意網址
bitbucket[.]org/scat01/
gameshack[.]ru
iplogger[.]org/1Zqq77
scat01.mcdir[.]ru
scat01[.]tk
Maze
相關雜湊值
e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684 – 偵測為Ransom.Win32.MAZE.H
相關惡意網址
hxxp://92.63.8.47
hxxp://92.63.32.2
hxxp://92.63.37.100
hxxp://92.63.194.20
hxxp://92.63.17.245
hxxp://92.63.32.55
hxxp://92.63.11.151
hxxp://92.63.194.3
hxxp://92.63.15.8
hxxp://92.63.29.137
hxxp://92.63.32.57
hxxp://92.63.15.56
hxxp://92.63.32.52
hxxp://92.63.15.6
相關電子郵件地址
filedecryptor@nuke[.]africa
@原文出處:Ransomware Recap: Clop, DeathRansom, and Maze Ransomware
