新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。
以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用 IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。
[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]
IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。
IQY 檔案可用來下載一個可執行 PowerShell 和 CMD 等系統工具的 Excel 公式,而且因為是利用正常的 Excel 檔案類型,所以還能避開偵測。
此勒索病毒是經由含有 IQY 附件檔案的垃圾郵件來散布。當附件檔案一旦被開啟,就會向歹徒的幕後操縱 (C&C) 伺服器取得一個惡意的 Excel 公式。此公式含有一道命令會執行 PowerShell 指令去下載一個執行檔。
研究人員發現,這項針對亞洲某機構的攻擊只持續了不到兩天。
防範系統遭到勒索病毒攻擊
多年來,勒索病毒的威脅一直存在,而且只會不斷成長。如同趨勢科技 2019 年資安總評報告指出,勒索病毒相關威脅的偵測數量在去年增加了 600 萬,從 2018 年的 5,500 萬攀升至 2019 年的 6,100 萬。
勒索病毒之所以成功,主要是因為它會一直不斷演進,犯罪集團時時刻刻都在開發新的勒索病毒能力、利用新的檔案類型、偽裝成無害的檔案以躲避偵測。
企業和使用者可採取一些最佳實務原則或使用習慣來防範勒索病毒。由於勒索病毒通常是經由惡意電子郵件散布,因此企業機構員工應避免下載不明郵件中的附件檔案或點選其中的連結。同時,使用者也應定期備份自己的重要檔案以防萬一遭到感染而工作停擺。
為了防範勒索病毒,趨勢科技提供了層層的防禦來形成強大防護。在電子郵件方面,趨勢科技Email Security 透過執行前靜態檔案機器學習與執行中動態沙盒模擬分析來防範勒索病毒,讓病毒無法進入系統。在網路方面,趨勢科技的Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒,防止它擴散至其他端點和伺服器。在伺服器方面,趨勢科技HYPERLINK “https://t.rend.tw/?i=Mzc4MQ”Deep Security 可保護實體、虛擬及雲端伺服器。至於端點,則有 趨勢科技Apex One™ 提供進階自動化偵測及回應能力來防範各種威脅,當然也包括勒索病毒。
入侵指標資料
雜湊碼
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 8a358b38c45628209e6f12264ed646ab3075ecefd273090acdc8497360b5d3d1 | TrojanSpy.Win32.TRICKBOT.TIGOCGQ |
| 8c985fd851f06d726709024eacd51b67ea268c5fee822cfa1460f581e7e38636 |
Trojan.Win32.MALIQY.AA |
| c12b75f4b1bfcf41c45666f9a3801b735653c7ea61d14c3b700e60c035f55b32 | Ransom.Win32.PARADISE.F |
網址
| 說明 | 網址 | 趨勢科技命名 |
| IQY 檔案中的網址 | hxxp://ocean-v[.]com/wp-content/1.txt | Malware Accomplice |
| PowerShell 指令中的網址 | hxxp://ocean-v[.]com/wp-content/1.exe | Malware Accomplice |
|
IQY 檔案中的網址 | hxxps://ugajin[.]net/wp-content/upgrade/upd.txt | Malware Accomplice |
| PowerShell 指令中的網址 | hxxps://ugajin[.]net/wp-content/upgrade/key.exe | Malware Accomplice |
| C&C 回報網址 | hxxps://iplogger[.]org/1AsWy7 | Malware Accomplice |
| 勒索訊息中提供的網址 | hxxp://prt-recovery[.]support/chat/25-decryptor | Malware Accomplice |
原文出處:Paradise 勒索病毒新變種透過 IQY 檔案散布
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
