勒索軟體 Ransomware - 資安趨勢部落格

行動裝置勒索病毒：Android 勒索病毒威脅成長 15 倍

2016 年 09 月 30 日2016 年 10 月 04 日趨勢科技 TrendMicro

過去 18 個月來，趨勢科技目睹個人電腦勒索病毒 Ransomware (勒索軟體/綁架病毒) 稱霸資安威脅版圖，不論數量和破壞力都前所未見。但現在，網路犯罪集團已開始將矛頭指向另一個目標：Android 行動裝置平台。根據我們的研究顯示，2016 年 6 月 Android 勒索病毒威脅較 2015 年 4 月成長了 15 倍 [i]。

行動裝置勒索病毒威脅最早出現在二年多前，此後便幾乎銷聲匿跡，因為大家的目光都在它的老大哥身上，也就是電腦版勒索病毒。但我們是不是該對行動勒索病毒多點關注？讓我們來看看你為何該注意這項威脅、這項威脅如何散布，以及你如何維護行動裝置安全。

你為何該注意 ?你可以一日不用電腦 ,但是手機呢?

勒索病毒會鎖住你的電腦或行動裝置，或者將你的檔案加密，你必須支付網路犯罪集團一筆贖金才能解開你的電腦和檔案。若你不支付贖金，歹徒會將你的照片和文件永久刪除，或者讓你永遠都無法使用電腦或行動裝置。

在今日，行動裝置比個人電腦更融入我們的日常生活當中，因此若遭到勒索病毒攻擊，將造成莫大的影響，這一點，任何曾經遺失手機的人都會懂。

行動裝置勒索病毒如何散布? 瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結都可能遭到攻擊

行動勒索病毒會冒充正常應用程式、熱門遊戲、Flash 播放程式、視訊播放程式或是系統更新，經常出現在非官方應用程式商店 (趨勢科技至今仍未在 Google Play 商店上發現任何勒索病毒威脅)。此外，你也可能因瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結而遭到攻擊。

行動裝置勒索病毒如何運作? 繼續閱讀

<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播

2016 年 09 月 29 日2016 年 09 月 29 日趨勢科技 TrendMicro

勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備，如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統，即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金，因為看來只能解決一時的問題。

Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案，使用 vssadmin來刪除備份，並且修改註冊表來使得在每次啟動時都會自動執行。

今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A，現在會透過暴力破解遠端桌面協定（RDP）散播,目前澳洲和紐西蘭的企業傳出疫情。

在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場（因為TeslaCrypt作者決定結束業務），並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播，可能是帶有雙重副檔名的木馬化病毒附加檔案（將惡意軟體偽裝成非執行檔的一種手法），或是連到受感染網站，網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。

Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。

圖1、透過RDP暴力破解攻擊的Crysis感染流程示意

RDP是內建在Windows作業系統的功能，可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料，竊來的資料可以放到網路地下市場販賣，還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。繼續閱讀

如何阻止勒索病毒滲透企業網路和在內部蔓延?

2016 年 09 月 26 日2016 年 09 月 30 日趨勢科技 TrendMicro

這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了，如果想減少勒索病毒所帶來的風險，最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。

可以到這裡閱讀之前的文章：

勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中，我們將研究勒索病毒如何使用網路及可能的解決方法。

檢視網路連線相當有用，因為網路活動是企業內部惡意活動進行的指標。反之，如果企業對網路沒有適當的能見度，就可能因為未受管理的設備（它們不一定受到閘道安全軟體的保護）或可信任設備來的未經授權連線而造成勒索病毒的感染。

受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色：

成為通訊中繼站
變成病毒擴散到其他系統和伺服器的幫兇

角色＃1：命令和控制（C&C）

對勒索病毒來說，網路最重要的用途是連接攻擊者的命令與控制（C&C）伺服器，因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。

金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成，多數勒索病毒會從C&C伺服器取得公共金鑰，並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變，而不會在惡意程式碼中發現任何金鑰。

如果無法建立與C&C伺服器的連線會發生什麼事？大多數勒索病毒（像是CryptoWall）不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX，在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰，讓安全研究人員比較容易進行逆向工程，並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰，讓使用固定金鑰的解密工具無用武之地。

角色＃2：擴散

勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時，多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播，結果本來只是單機的中毒問題，造成讓整個企業都停擺的後果。

如前所述，勒索病毒也能夠經由未授權的連線來侵入網路。比方說，Cryisis勒索病毒會利用遠端桌面協定（RDP）的暴力破解攻擊。在2016年3月，Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。

繼續閱讀

勒索病毒造成藍色當機畫面：HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

2016 年 09 月 22 日2017 年 09 月 12 日趨勢科技 TrendMicro

雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾，我們也發現到有些勒索病毒並不挑剔：HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源，如透過伺服器訊息區塊（SMB）分享的磁碟、資料夾、檔案、印表機和序列端口，還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。

圖1、勒索信的照片；HDDCryptor使用寫死的惡意軟體ID（123141），這意味著運作者可能只用單一的解密金鑰。

感染媒介和安裝方式

HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件（正常或惡意的都有）植入系統的根目錄：

dll（偵測為Ransom_HDDCRYPTOR.A）
exe（用來加密磁碟）
exe
sys
txt（惡意軟體活動日誌）
EXE（掃描掛載中的網路磁碟和加密儲存在上面的檔案）
exe（用來掃描之前存取過的網路資料夾）
txt（用來儲存關於掛載網路磁碟的資訊）
txt（用來儲存使用者密碼）

它還會加入一個名為DefragmentService的服務並且透過命令行加以執行，好持續存活在系統內。

繼續閱讀

CryLocker勒索病毒利用PNG檔案上傳受害者資料,透過 Google Map定位 API取得相關位置

2016 年 09 月 21 日2016 年 09 月 19 日趨勢科技 TrendMicro

利用正常網站當作命令與控制伺服器（C&C）通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器，也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。

最新的一個勒索病毒 CryLocker（偵測為RANSOM_MILICRY.A）也是類似地會利用Imgur，這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時，發現 Rig和Sundown都會散播此威脅。

勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿

這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後，勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。