標籤: 勒索軟體 Ransomware

【重大病毒警訊 】WannaCry/Wcry勒索病毒疫發不可收拾,企業預防史上第一勒索蠕蟲的七個方法

趨勢科技 TrendMicro

一波前所未有的勒索病毒12日起陸續席捲了全球各產業的組織。罪魁禍首就是「WannaCry/WCry(想哭) 勒索病毒」(趨勢科技偵測為RANSOM_WANA.ARANSOM_WCRY.I)。WannaCry/WCry在短期內成為擴散最廣的勒索病毒,影響了全球各地眾多的組織,一些受影響企業不得不將IT基礎設施離線,醫療產業的受害者面臨了運作延誤,被迫將病患轉院直到可以正常運作。

台灣、中東、日本和數個亞太地區(APAC)國家也都顯示出大量的感染。WannaCry 勒索病毒感染影響了各個產業,包括了醫療保健、製造業、能源(石油和天然氣)、科技、食品和飲料、教育、媒體和通訊以及政府。

趨勢科技從 WannaCry在2017年四月出現以來就一直在追蹤它。趨勢科技的採用 XGen安全防護能夠透過行為分析和高保真機器學習等技術來保護使用者對抗此次攻擊或其他威脅。以下是使用者和企業需要對這一波大規模擴散威脅的了解,以及該如何來加以防禦。

 

防範勒索病毒 WannaCry/Wcry,主動防禦是王道
防範勒索病毒 WannaCry/Wcry,主動防禦是王道

 

發生了什麼事?

首先是歐洲的數家企業回報了自己的重要 Windows系統被鎖住並顯示了勒贖通知。接著全球各地都迅速傳出災情,外電報導有近百國傳出疫情,台灣也被外電列為重災區。

繼續閱讀

【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

趨勢科技 TrendMicro

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球,包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示,台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務(NHS)遭到攻擊,許多醫院手術被迫取消,西班牙的電信公司、電力公司及公用事業的天然氣公司,都受到影響。葡萄牙的電信公司、聯邦快遞(FedEx)等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後,畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險:CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞,已經在三月份修復,還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起,造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元;此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外,其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

 

[相關閱讀:使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

 

近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!

 

感染途徑

這波攻擊所用的漏洞(代號EternalBlue)是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒贖通知的檔案)。被針對的副檔名共有166種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
繼續閱讀

[勒索病毒警訊] WannaCry/Wcry 勒索病毒入侵,全球氾濫!趨勢科技提供用戶預防機制

趨勢科技 TrendMicro

名為「WanaCrypt0r 2.0(WannaCry/Wcry)」的勒索電腦病毒正在全世界肆虐,國內外媒體,包含 CNN 皆加以報導,建議不要忽略這次的危機。

CNN 報導勒索病毒 WanaCrypt0r
CNN 報導勒索病毒 WanaCrypt0r

 

 

 

最新勒索病毒RANSOM_WANA.A攻擊以及趨勢科技防護策略

趨勢科技發現最新的勒索病毒 WCRY(WannaCry)在全球各地的爆發案件,並已密切監控中。初步分析顯示此勒索病毒是攻擊微軟的安全性弱點:MS17-010 – Eternalblue。而此安全性弱點與早先 Shadow Brokers 發布的駭客工具有關。
請參考趨勢科技部落格文章病毒百科以獲取 WCRY 勒索病毒的變種及元件等相關資訊:

趨勢科技產品與防護措施
首先最重要的是此波攻擊是針對已知的微軟安全性弱點,請客戶透過 GPO 或是微軟官方的說明停用 SMB。此外,我們強烈建議您為作業系統安裝最新的修補程式,尤其是跟安全性弱點 MS17-010 相關的安全性修補程式。趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上,我們已能針對這樣的新威脅事件提供某種程度的防護能力: 繼續閱讀

最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付

趨勢科技 TrendMicro

原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B),這是一個來自巴西駭客的勒索病毒,採用 .NET 撰寫並利用電子商務平台來散布,例如專門銷售數位商品的網站。

其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔,並顯示以下畫面:

此勒索訊息內容大致翻譯如下:

解開被加密的「.locked」檔案。
若您已經取得密碼,請在下方輸入密碼,然後按一下「Unlock Files」(解開檔案)。
若您沒有密碼,請按「Obter Senha」(取得密碼) 按鈕。

當使用者按下「Obter Senha」(取得密碼) 按鈕,就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站,這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元,因此還算容易負擔,而且可以透過 PayPal 支付。接著,病毒會隨機產生一個加密金鑰。

繼續閱讀

最新勒索病毒 Mole, 利用 Google Doc 散播!

趨勢科技 TrendMicro

郵局通知信內含假 Microsoft Office 連結信件, 下載外掛就中招!

趨勢科技偵測到了一個自稱為「Mole」(鼴鼠) 的 CryptoMix 勒索病毒變種 (趨勢科技命名為 CRYPAURA.MOLE),它會利用 Google Doc 連結來感染受害電腦,台灣目前也傳出受駭案例。此勒索病毒是經由垃圾郵件散布,有一案例是假冒美國郵局的名義,內含一個連結指向假的 Microsoft Office 入口網站,該網站會指示使用者點選某個按鈕來下載所需的外掛元件。但它其實會下載勒索病毒檔案到系統上,其背後的連結是個 Google Docs 網址,該網址每個樣本都不同。每當駭客上傳一個新的樣本時,就會產生一個對應的新網址。

下圖顯示此勒索病毒感染的過程:

當 Mole 開始加密檔案時就會顯示其勒索訊息,但卻不會要求贖金,而是要求使用者寄一封電子郵件到指定的地址來索取解密說明。 繼續閱讀