勒索軟體 Ransomware - 資安趨勢部落格

《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%

2016 年 12 月 30 日2017 年 02 月 13 日趨勢科技 TrendMicro

在幾個星期前，筆者在2016年的歐洲黑帽大會上談論了躲進口袋的壞東西：為什麼勒索病毒造成貓捉老鼠遊戲內的曲折劇情。當回顧2015年4月到2016年4月的行動勒索病毒 Ransomware (勒索軟體/綁架病毒)時，趨勢科技注意到了Android勒索病毒數量的大幅上升。在這一年時間內，Android勒索病毒數量增加了140%。某些地方的行動勒索病毒甚至佔行動惡意軟體總數的22%！（這些數字來自趨勢科技的行動應用程式信譽評比服務）。在這期間所注意到的一個趨勢是它跟傳統勒索病毒走勢有密切相關：跟其他勒索病毒一樣，行動勒索病毒也在不斷地發展和成長。

這項研究從筆者在Politecnico di Milano（POLIMI）時就開始，趨勢科技的行動研究團隊為這項研究做出巨大的貢獻。本文將討論行動勒索病毒所使用的技術及協助解決這些問題的偵測技術。

為什麼行動勒索病毒會得逞？上鎖和恐懼

根據趨勢科技的分析，鎖住螢幕和恐嚇受害者必須付錢,以重新啟用設備,是行動勒索病毒得逞的必備伎倆。

鎖住螢幕

SMSLocker（偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER）是現今Android勒索病毒的開端。最初它沒有使用加密技術，只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密，所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制（C&C）通訊；有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備，總結如下基於KeyEvent.Callback API呼叫：

綁定onKeyDown()和onBackPressed()函式回調，
只要受害者按下實體按鈕就會觸發回調，
根據API，透過傳回「true」值給連鎖內的下一個回調（代表「不傳播，事件已經被處理」），應用程式有效地防止當前的活動被移到背景處理。

圖1、Android套件索引列表內onKeyDown()函式的說明

繼續閱讀

企業成勒索病毒的金礦：Cerber是如何加密資料庫檔案?

2016 年 12 月 09 日2016 年 12 月 09 日趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢，這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作：加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率，所以拿這些關鍵資料作人質無疑可以影響公司業務，觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒，Cerber經歷過無數次的改版。它會利用更多技巧，包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台，甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER（RANSOM_CRYPJOKER.A）、SURPRISE（RANSOM_SURPRISE.A）、PowerWare（RANSOM_POWERWARE.A）和Emper（Ransom_EMPER.A）等都將資料庫相關副檔名加入加密列表。包括了dBASE（.dbf）、Microsoft Access（.accdb）、Ability Database（.mdb）和OpenOffice（.odb）等檔案。想想看資料庫檔案對於企業來說有多麼重要，開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種（Ransom_CERBER.CAD、Ransom_CERBER.A）一樣，設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定，勒索病毒偵測到下列語系就會終止自己：俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

繼續閱讀

ɢoogle、Google 差別在哪兒?四個小秘訣看穿網路釣魚障眼法

2016 年 11 月 28 日2016 年 12 月 06 日趨勢科技 TrendMicro

「你的訂單已出貨」郵件無內容,僅附上一個空白 Word 文件，一點下去檔案就成了勒索病毒肉票!
「Google 」被改成「Goog1e」或「ɢoogle.com」等魚目混珠的網址,點下去帳密可能就被盜了!
如何在第一時間看穿這些網路綁匪的真面目?

只要一個不小心我們就在社群網站上很容易不小心點了某個惡意連結，而帶來一連串的厄運：不是個人資料遭到竊取，就是電腦受到感染。還有當心把.com手殘打成.om，被誤導到惡意網站,，目前這些仿冒網域名稱包括netflix.om、youtube.om、linkedin.om、yahoo.om、gmail.om等等。延伸閱讀:看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)

今年五月美國電子商務巨擘 Amazon 的使用者陸續接到通知，請他們小心提防大規模網路釣魚（Phishing）詐騙。估計有 3,000 萬封,甚至另有估計一億封假冒該網站名義所發出Amazon.com 訂單出貨通知的垃圾郵件,寄件人地址為「auto-shipping@amazon.com」，主旨為「Your Amazon.com Order Has Dispatched (#code)」(你的 Amazon.com 訂單已出貨 (#編號))。

「你的訂單已出貨」郵件無內容,僅附上一個空白 Word 文件，一點下去就中了勒索病毒! — 「你的訂單已出貨」是勒索病毒慣用的伎倆,今年五月勒索病毒 Locky 假冒 Amazon 發出網路釣魚信,使用空白郵件,僅附上一個空白 Word 文件，一點下去就中了勒索病毒!

該郵件內文為空白，僅附上一個 Microsoft Word 文件，這個 Word 文件的內容也是空的，但卻含有一些原本用來將常用操作自動化的巨集程式碼。許多受害者收到這個惡意檔案的使用者當看到畫面上要求啟用巨集以閱讀文件內容時，通常會不自覺地照做，因此就會從某個網站下載Locky 勒索病毒到電腦。

根據趨勢科技 Trend Labs 報告發現：99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊。每天有100 次掉進駭客陷阱的風險!臺北市某公司會計人員收到一封標題為「免費抽iphone 」的電子郵件，一打開”中獎名單”附檔，電腦中的檔案立刻被勒索病毒攻擊!「你的檔案已被加密，支付 600 美金索取解鎖金鑰， 96 小時後贖金加倍,倒數計時開始 !!」

辨認網路釣魚（Phishing）常用四個障眼法

雖然網路詐騙份子不會讓你一眼就看穿,不論你是忙著追蹤熱門話題、上網購物，或者只是到處瀏覽打發時間，你最好避開一些看起來就很可疑的連結和電子郵件。它們有什麼徵兆？提供一些辨認網路釣魚（Phishing）四個小秘訣：

1.企圖魚目混珠的英文拼法,例如:把字母l 改成數字 1 ;字母O 改成數字 0

2.假冒網路警察抓盜版,facebook 停權警告通知….等令人心生畏懼或緊張冒冷汗的標題

3.FB 臉書朋友突然發出奇怪的連結,比如養眼影片,務必 hold 住滑鼠,打電話求證

4.政府或金融機構要求提供個人資訊,尤其是在手機操作時~~眼睛容易有”業障”~~,不容易分辨真假,一不小心就手滑誤按

1.內容有錯字,或是企圖魚目混珠的拼法,例如:把字母 l 改成數字 1 ;字母 O 改成數字 0

– 企業大都很看重自己的名譽，因此網站和信件內容在發布之前一定會經過審閱。所以這是一個分辨正常網站和網路釣魚（Phishing）網站的簡易技巧。

趨勢科技發現為數不少的網路釣魚（Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法,這些雷同 URL ,很容易矇騙臉友點擊。

「ɢoogle.com」乍看之下似乎看不出來什麼端倪。把它和正宮「Google.com」擺在一起再看仔細,有發現哪裡不對勁嗎?

看出來了吧，就是「ɢ」、「G」的差別。事實上，這個「ɢ」其實是一個拉丁字母，而不是我們平常常見的「G」。報導說該網站與 google無關,裡面都是垃圾廣告訊息,目前已經無法進入。

繼續閱讀

盤點 2016 年六大勒索病毒

2016 年 11 月 08 日2017 年 02 月 22 日趨勢科技 TrendMicro

光是在2016年上半年，新出現的勒索病毒家族數量就成長了172%。趨勢科技封鎖了超過1億次的勒索病毒攻擊。以下列出2016年惡名昭彰的六隻勒索病毒:

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」
2. CERBER：會說話的加密勒索軟體,台灣是攻擊目標
 3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集
 4.Crysis: 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播
 5. CryLocker: 打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿
 6.Stampado: 每六個小時就會有一個隨機檔案被永久刪除，96小時後解密金鑰就會永遠消失

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」

「 YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站，別再看這麼多色情影片了。現在你必須付出代價)這是新的加密勒索軟體JIGSAW 的勒索訊息之一

為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。「JIGSAW」(電動線鋸)勒索病毒家族，讓人聯想到Saw《奪魂鋸》這部恐怖電影。JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態，每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。

⊙延伸閱讀:《奪魂鋸》殺人魔化身勒索軟體 JIGSAW:重新開機,刪除 1,000 個檔案;未在 72 小時內付款,刪除所有加密檔案

2. CERBER：會說話的加密勒索病毒,台灣是攻擊目標

「注意！注意！注意！」
「你的文件、照片、資料庫和其他重要檔案都已經被加密！」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

雖然Cerber有好幾個變種，最原先的版本最嚇人 – 會用語音來告訴受害者已經中毒了，以下是音頻檔案：

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（勒索軟體即服務也就是RaaS）。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

⊙延伸閱讀: Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集

這個帶嘲諷的勒索病毒將責任歸咎於受害者，並假設他們知道如何付錢。此外，這有V怪客的圖檔也夠讓人驚嚇了 – 因為勒贖金額將近29,000美元！繼續閱讀

勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力

2016 年 10 月 24 日2016 年 10 月 24 日趨勢科技 TrendMicro

2015年7月，一個名為「Encryptor RaaS」（趨勢科技偵測為RANSOM_CRYPRAAS.SM）的新勒索病毒即服務（Ransomware-as-a-Service）浮出檯面，想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬：跨平台，吸引人的價格，而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅，因為Encryptor RaaS可以對會員提供客製化服務。

Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板，讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來（如Cerber，開發者抽取40%的佣金），Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒，當然,為了躲避追查,比特幣（Bitcoin）是首選交易貨幣。

早在2016年3月，趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒，同時也不斷地利用反防毒服務和加密服務。

但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落？

犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID，並不需要其他技術專長

Encryptor RaaS會在表層網路和黑暗網路（Dark Web）的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外，並不需要其他技術專長。他們還會取得一個「客戶ID」，所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額，並選擇使用哪些方法來散播定製的惡意軟體。繼續閱讀