目標式勒索病毒攻擊台灣企業

一波新的針對性攻擊利用新勒索病毒感染了數家台灣企業，我們將這隻勒索病毒稱為 ColdLock。這波攻擊帶有破壞性，因為勒索病毒似乎會針對資料庫和郵件伺服器進行加密。

我們所收集的資料顯示這波攻擊在5月初開始攻擊企業。分析惡意軟體顯示ColdLock與之前的勒索病毒家族Lockergoga，Freezing以及EDA2“教學用”勒索病毒套件間有相似之處。沒有跡象顯示這波勒索病毒攻擊了目標之外的組織。我們不認為這支病毒家族現在有被廣泛的使用。

趨勢科技使用者已經能夠抵禦此威脅，我們將其偵測為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。底下的文章會描述此威脅的行為，並描述它與其他勒索病毒威脅的關聯。

我們目前尚未得知此威脅一開始進入潛在受害者網路的抵達媒介。但我們認為攻擊者用了某種方法取得目標組織的Active Directory伺服器權限。此時他們可以設定群組原則，導致勒索病毒檔案被下載並在受影響網域內的電腦上執行。

惡意檔案以.NET執行檔（.DLL檔）的形式抵達，並使用ConfuserEx加殼器進行壓縮/保護。它使用PowerShell反射載入.NET執行檔來執行上述的.DLL檔：

它還會進行兩項檢查來確認自己是否正在執行。首先，它會檢查用於勒贖通知的%System Root%\ProgramData\readme.tmp是否存在。此檢查可防止系統被重複感染：

比較不尋常的是它會檢查系統時鐘。只會在指定日期的下午12:10或之後執行；如果時間沒到，它會休眠15秒鐘，直到過了上述時間。

在加密任何檔案前，勒索病毒還會執行一些準備動作。首先，如果下列服務正在執行中就會加以終止以防止出現拒絕檔案存取：

這些是各資料庫及Exchange郵件伺服器所用的服務名稱。它還會終止Outlook程序。

它還會檢查系統上的Windows版本。如果的是Windows 10，它會執行數個Windows 10特定的動作。會停用Windows Defender，且無法向Microsoft傳送反饋/惡意軟體樣本。推送通知也被停用。

它的加密行為有些特別。資料夾內的檔案是否被加密取決以下的三個條件：

如果滿足以上所有條件，它會加密指定資料夾內的所有檔案，但使用以下副檔名的檔案除外：

而如果沒有滿足全部條件時，它只會加密使用以下副檔名的檔案：

加密程序使用AES的CBC模式。它會用鹽值（salt）和密鑰（secret key）產生所需的金鑰和初始向量（IV）；鹽值內嵌在程式碼裡，而密鑰是動態用SHA-256雜湊隨機產生的32位元長度字串。然後用寫死的RSA公鑰對此進行加密，然後嵌入到勒贖通知裡。加密過的檔案會加上.locked副檔名。

勒贖通知會被存放在系統的下列位置：

其內容與其他勒索病毒類似：

接著勒索病毒會替所有使用者更換系統桌布；包含了一個讀取文字檔（勒贖通知）的指令。它透過變更幾個登錄檔設定做到這一點。

這波威脅乍看似乎跟Lockergoga有關，因為都用一樣的副檔名（.locked）來加密檔案。不過也有其他的勒索病毒使用相同副檔名，所以這個關聯性很薄弱。而跟Freeze勒索病毒就存在著更加合理的關聯。都使用類似的方法在網路內散播（入侵AD伺服器）、使用反射注入技術和內部模組架構。

它的程式碼還跟開放原始碼的EDA2勒索病毒套件有相似之處。在好幾年前就有實際在外肆虐的勒索病毒是基於這據稱僅用於”教學”目的的EDA2。

勒索病毒仍是個揮之不去的威脅，當我們看到所偵測勒索病毒數量從2018年的5,500萬上升到2019年的6,100萬後在最新的年度資安綜合報告裡提到了這一點。這一次的威脅又更加危險，因為會入侵企業系統的威脅更加容易在企業網路內部散播。

底下是一些使用者可以採用保護系統抵禦勒索病毒危害的最佳做法：

為了更有效、更主動地防禦勒索病毒，建議採用以下趨勢科技解決方案：