Paradise 勒索病毒新變種透過 IQY 檔案散布

新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。

以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用  IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。

[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]

IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。

IQY 檔案可用來下載一個可執行 PowerShell 和 CMD 等系統工具的 Excel 公式,而且因為是利用正常的 Excel 檔案類型,所以還能避開偵測。

此勒索病毒是經由含有 IQY 附件檔案的垃圾郵件來散布。當附件檔案一旦被開啟,就會向歹徒的幕後操縱 (C&C) 伺服器取得一個惡意的 Excel 公式。此公式含有一道命令會執行 PowerShell 指令去下載一個執行檔。

研究人員發現,這項針對亞洲某機構的攻擊只持續了不到兩天。

防範系統遭到勒索病毒攻擊


多年來,勒索病毒的威脅一直存在,而且只會不斷成長。如同趨勢科技 2019 年資安總評報告指出,勒索病毒相關威脅的偵測數量在去年增加了 600 萬,從 2018 年的 5,500 萬攀升至 2019 年的 6,100 萬。


勒索病毒之所以成功,主要是因為它會一直不斷演進,犯罪集團時時刻刻都在開發新的勒索病毒能力、利用新的檔案類型、偽裝成無害的檔案以躲避偵測。

[延伸閱讀:勒索病毒:過去、現在和未來]

企業和使用者可採取一些最佳實務原則或使用習慣來防範勒索病毒。由於勒索病毒通常是經由惡意電子郵件散布,因此企業機構員工應避免下載不明郵件中的附件檔案或點選其中的連結。同時,使用者也應定期備份自己的重要檔案以防萬一遭到感染而工作停擺。

為了防範勒索病毒,趨勢科技提供了層層的防禦來形成強大防護。在電子郵件方面,趨勢科技Email Security 透過執行前靜態檔案機器學習與執行中動態沙盒模擬分析來防範勒索病毒,讓病毒無法進入系統。在網路方面,趨勢科技的Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒,防止它擴散至其他端點和伺服器。在伺服器方面,趨勢科技HYPERLINK “http://t.rend.tw/?i=Mzc4MQ”Deep Security 可保護實體、虛擬及雲端伺服器。至於端點,則有 趨勢科技Apex One™ 提供進階自動化偵測及回應能力來防範各種威脅,當然也包括勒索病毒。

入侵指標資料

雜湊碼

SHA-256 趨勢科技病毒碼偵測名稱
8a358b38c45628209e6f12264ed646ab3075ecefd273090acdc8497360b5d3d1 TrojanSpy.Win32.TRICKBOT.TIGOCGQ
8c985fd851f06d726709024eacd51b67ea268c5fee822cfa1460f581e7e38636 Trojan.Win32.MALIQY.AA
c12b75f4b1bfcf41c45666f9a3801b735653c7ea61d14c3b700e60c035f55b32 Ransom.Win32.PARADISE.F

網址

說明 網址 趨勢科技命名
IQY 檔案中的網址 hxxp://ocean-v[.]com/wp-content/1.txt Malware Accomplice
PowerShell 指令中的網址 hxxp://ocean-v[.]com/wp-content/1.exe Malware Accomplice
IQY 檔案中的網址

hxxps://ugajin[.]net/wp-content/upgrade/upd.txt Malware Accomplice
PowerShell 指令中的網址 hxxps://ugajin[.]net/wp-content/upgrade/key.exe Malware Accomplice
C&C 回報網址 hxxps://iplogger[.]org/1AsWy7 Malware Accomplice
勒索訊息中提供的網址 hxxp://prt-recovery[.]support/chat/25-decryptor Malware Accomplice

原文出處:Paradise 勒索病毒新變種透過 IQY 檔案散布

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網