資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

勒索軟體:限期透過比特幣支付贖金,否則被綁檔案將永久加密

2014 年 08 月 18 日2016 年 03 月 04 日趨勢科技 TrendMicro

最近一次打擊網路犯罪的勝利是中斷了GAMEOVER ZeuS殭屍網路活動。其中最明顯的或許是讓另一重大威脅也受到影響 – 惡名遠播的CryptoLocker惡意軟體。

然而，這次中斷並沒有阻止使用檔案加密勒索軟體 Ransomware的網路犯罪分子。事實上，趨勢科技看到使用新加密和迴避方法的新加密勒索軟體 Ransomware變種出現。

Cryptoblocker和它的加密技術

跟其他勒索軟體 Ransomware變種一樣，這被偵測為TROJ_CRYPTFILE.SM的Cryptoblocker惡意軟體會加密一定數量的檔案。不過這變種有一定的限制。首先，它不會感染大於100MB大小的檔案。此外，它也會跳過資料夾C:\\WINDOWS，C:\\PROGRAM FILES和C:\PROGRAM FILES (X86)內的檔案。

不像其勒索軟體 Ransomware變種，Cryptoblocker不會產生任何文字檔來指示受害者如何解密檔案。相對地，它會顯示下面的對話框。輸入交易ID到文字框內會產生一個訊息，說明「交易已被發送，很快就會得到驗證。」

圖1、對話框

另一個分別是它的加密方式。該惡意軟體不使用CryptoAPIs，這其他勒索軟體 Ransomware明顯不同。CryptoAPIs是用來製造RSA金鑰，這個惡意軟體並沒有使用它。這一點很有趣，因為RSA金鑰會讓解密檔案更加困難。相對地，我們在這惡意軟體程式碼中發現進階加密標準（AES）。

仔細一看還發現，解開程式碼時還會發現編譯註解。這相當有趣，因為編譯註解通常會被刪除。因為這些資料可以被安全研究人員用來偵測（進而封鎖）來自該惡意軟體作者的檔案。出現編譯註解也表示Cryptoblocker背後的壞傢伙可能是勒索軟體的新手。

根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料，美國是受影響最大的國家，其次是法國和日本。加上西班牙和義大利就是前五名受影響的國家。繼續閱讀

Raspberry Pi (樹莓派)蘊藏潛力也暗藏風險

2014 年 08 月 15 日2019 年 06 月 24 日趨勢科技 TrendMicro

Raspberry Pi 樹莓派是一種有如信用卡般大小的微電腦模組。不過，可別讓它小巧的體積給唬了。它原本是專為學生設計的一種低成本電腦程式設計輔助工具，但它豐富的多元性卻讓它應用到各式各樣的專案。有許多人發揮創意為 Pi 找到了很酷的用途，例如將它改造成無線路由器、私人音樂串流裝置，甚至變成一台可幫您泡咖啡的機器人。

圖文解說：Raspberry Pi 是否需要安全防護？(點小圖可放大)

它不僅用途廣泛，而且定價只有 25 美元，大約是五個大麥克漢堡或三個月 Xbox Live® 金會員資格的價格。這正是 Pi 在美國大賣的原因。

Pi 輕輕鬆鬆就登上 DIY 之王，它可以用來建立強大的系統。它提供了 SD 卡插槽、USB 連接埠、乙太網路連接埠、RCA 插槽、HDMI 連接埠、音訊輸出以及 micro USB。因此，您可以擴充它的儲存容量、用它來播放多媒體、或者用它來連上網際網路。您可以將它打造成一台行動電腦、檔案伺服器、居家保全控制盒、遊戲裝置、玩具或創意電子設備，或是當成教學工具。

但它也不是沒有風險。Raspberry Pi 強大而吸引人的原因之一是可以連上網際網路，而這將帶來風險。網路上充斥著惡意程式感染與資料外洩的風險。既然 Pi 是可儲存與載入資料的硬體，因此自然需要受到保護。

由於這台多用途微電腦當中使用了許多手機上的技術，因此，其防護措施做起來也不算全然陌生。光是將您 Pi 上的作業系統安全功能全都打開或許還不足夠。就像桌上型電腦與行動裝置一樣，切記避免從可疑來源下載 App 程式到 Pi 上，因為這很可能導致資料遭到竊取。由於 Pi 可輕鬆連接各種裝置與網路，因此這些全都應該採用最新的安全防護方案。

◎原文來源:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/raspberry-pi-has-its-potentials-and-perils

羅賓威廉斯( Robin Williams) 去世消息,被網路犯罪份子利用

2014 年 08 月 15 日2014 年 09 月 02 日趨勢科技 TrendMicro

羅賓·威廉斯(Robin Williams)在8月12日的過世消息震驚了全世界。這位著名演員的早逝消息在網路上迅速傳開，成為了網民間的熱門話題，同時也引來了垃圾郵件發送者和網路犯罪分子。

圖片截圖來源:Robin Williams 粉絲頁

當羅賓威廉斯(Robin Williams)的過世消息一傳出，趨勢科技就攔截到有垃圾郵件的主旨提到他的名字。垃圾郵件內容是用西班牙文，並要收件者下載關於羅賓威廉斯(Robin Williams)過世「令人震驚」的影片。一旦點擊該連結就會下載蠕蟲WORM_GAMARUE.WSTQ 。

類似的攻擊也開始流傳在 facebook 和 Twitter,一旦點擊會被進行點擊劫持（clickjacking）,誘使被害者到另一個惡意網站,要求填問券或下載最新版本的播放器以觀賞影片,實際上卻會讓你的個資外洩。

利用新聞事件（像是名人的死訊，包括死亡謠言），是網路犯罪分子常用的誘餌。在過去也有一些攻擊使用類似的手法。

利用眾所關注的事件做為社交工程 ( Social Engineering )陷阱手法的攻擊在未來仍將持續發生，以下是趨勢科技提供的幾個竅門，幫助你在取得最新消息的時候，避免淪為網路犯罪份子攻擊：

不要輕易點選搜尋結果:
與其使用當下聯想到的關鍵字來搜尋新聞，不如將值得信賴的新聞網站以書籤標示，然後直接從網站直接取得最新消息。不過要注意的是，如果網站已遭入侵，你仍無法免於受攻擊傷害，除非你的系統能進行適度的防護。不過比起瞎點擊搜尋結果連結來說，這還是比較好的搜尋方式。
臉書等社交網站分享的新聞相關訊息請先查證:
先設定任何在社交網路網站上的資訊都是假的，除非有任何證據可做證實,試著去看資訊是從何處而來的。
使用安全軟體並時時更新軟體版本及你的系統。

趨勢科技PC-cillin 2014雲端版獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛！即刻免費下載

《同場加映》

當發生大新聞時，你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。他們會建立假網站讓人們點擊、下載或開啟檔案，但實際上夾帶惡意軟體，可能用來偷看上網習慣，或在電腦裡開後門以及竊取個人資料。

當發生大新聞時，你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候

2006 年泰國禽流感,木馬藏在紅十字會網站;2009年 H1N1新流感出現南美總統集體得 H1N1 新流感!? 假新聞連結，偷個人資料木馬藏匿其中,利用時事大作文章的不只是媒體的專長,更是駭客病毒的一貫伎倆, 311日本大地震時黑心詐騙紛出籠,假新聞,假募款,假臉書分享…;美國大選時的喝醉的歐巴馬”,和可能導致資料外洩的美國 2012 年總統大選 App 程式;在台灣則有這個文章看了讓你多活十年/新年度行政機關辦公日曆表( 這類搏感情的信件,誤點率很高) 。前陣子全球關心的波士頓馬拉松爆炸案也難逃一劫,緊接其後的一則德州爆炸案居然也被垃圾郵件集團拿來大做文章。

支付寶 Android 應用程式出現漏洞

2014 年 08 月 15 日2014 年 08 月 15 日趨勢科技 TrendMicro

支付寶是中國主流的第三方支付平台，來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚（Phishing）攻擊以竊取支付寶認證。

第一個漏洞：輸出活動

Android應用程式有幾個重要的部分，其中之一是活動（Activity）。這有一個重要的屬性，android:exported。如果此屬性設定為「true」時，安裝在同一設備上的每個應用程式都可以調用這個活動（Activity）。開發者應該要小心，讓自己輸出的活動（Activity）不被濫用。

趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動（Activity）可被用來增加一個支付寶護照（稱為Alipass）。使用一特別建立Alipass的攻擊者可以用此活動（Activity）來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚（Phishing）網頁或顯示QR碼。在該活動（Activity）啟動前，使用者會被要求輸入支付寶解鎖密碼，這讓使用者相信該登錄畫面確實來自支付寶。

圖1、活動（Activity）所提供的網路釣魚網址

第二個漏洞：惡意的權限

前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中，惡意應用程式在目標應用程式前安裝，取得目標應用程式的客製化權限和能存取該權限所保護的組件。

支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。

當一個惡意應用程式被給予PUSHSERVICE權限，攻擊者可以輕易地假造此一訊息，並將其送到RecvMsgIntentService以推送更新通知給使用者。

圖2、攻擊漏洞的測試通知

圖3、要求安裝惡意程式的通知。繼續閱讀

Google Play上前 50 的免費應用程式,近 80％應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014 年 08 月 14 日2015 年 12 月 03 日趨勢科技 TrendMicro

【2014年8月14日台北訊】隨著行動裝置使用者數量不斷成長，山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示，高達80% 應用程式皆有對應的假冒版本，其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%！趨勢科技建議，為避免行動裝置威脅，使用者請務必從信任的來源下載程式，並安裝有信譽的行動防護程式如趨勢科技『安全達人』免費App，以保障自身的行動裝置安全。

趨勢科技研究發現，截至2014年四月，在890,482 個山寨App樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式；而在所有山寨App 中，有 50% 以上懷有惡意。目前山寨版App可分為兩大類型，其一為「假 App 」，其中又以假防毒App為最大宗。以「Virus Shield」為例，號稱可即時掃描、保護個資，售價3.99美元，曾在Google Play獲得 4.7 分的評價，上線一周即吸引超過一萬次下載量，但該App遭踢爆不具備任何防護功能，經查證下載量多為殭屍電腦操縱成果，縱使被 Google 下架，卻仍造成數千人受騙並造成金錢損失。

圖 1：Virus Shield 在 Google Play 上的購買畫面。

山寨App另一類型則為「重新包裝的 App 」，仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法，將 App 程式重新包裝從事惡意用途，已逐漸成為網路攻擊常態，其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例，累計下載次數突破5,000 萬次，該遊戲的突然下架引發網友大量討論，吸引網路犯罪者推出「Flappy Bird」木馬化版本；其中一個木馬化版本會要求使用者允許開發者發送簡訊，導致使用者電信通訊費用帳單因而突然飆高。

圖 2：木馬化 Flappy Bird 發送的高費率簡訊範例。

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除，並換上木馬化版本，竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊，造成使用者重大損失。

圖 3：南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM)，在 BlackBerry 將其程式上架至Google Play 之前，網路上竟然出現一些木馬化的 BBM 版本，利用 Android 版 BBM 即將上市的預期心理，讓其重新包裝的程式獲得 100,000 次下載；然而這些程式會出現越權廣告程式的行為，因此遭 Google Play 下架。

圖 4：假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示：「在山寨App中，有相當大的數量為內藏有惡意程式，不僅容易引發個資外洩，更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能，可協助阻擋用戶下載具有惡意威脅的應用程式，為用戶的手機資安做最全面把關！」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝（Repackaged）的應用程式是一種假應用程式，它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣，重新包裝應用程式利用社交工程伎倆，顯示出想偽造的正常/官方版本類似的使用者界面（UI）、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。