勒索軟體 Ransomware - 資安趨勢部落格

根據趨勢科技威脅回應工程師 Pacag 指出，幾個星期前，有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 的運作方式，現在，網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件，就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面，因為這類病毒的效果真的是太強。一般來說，使用者可能經由下列管道感染勒索病毒：瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行，就會開始加密電腦或伺服器上的檔案，接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣)，使用者若想救回被加密的檔案，就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一，但卻從受害者身上海撈了 3.25 億美元，而這些很可能都是淨賺的，因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何？一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性，但藉由大量的加密：整個資料夾、整個磁碟、整台伺服器等等，網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金，而且就算只有少數受害者願意付錢，他們的獲利也相當可觀。繼續閱讀

Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!

2016 年 09 月 13 日2016 年 10 月 17 日趨勢科技 TrendMicro

< 2016/10/12更新 >最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber 勒索病毒,趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（勒索軟體即服務也就是RaaS）。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最新版本的Cerber具備之前版本的功能，像是會念出勒索訊息。跟之前的版本相似，Cerber 3.0會利用Magnitude和Rig漏洞攻擊套件散播。

使用者通常會在點擊播放影片後，被跳出視窗導到漏洞攻擊套件的伺服器,最後會下載 Cerber勒索病毒。這惡意廣告攻擊活動已經影響了好幾個國家，主要集中在台灣。

Magnitude會簡單的利用重新導向腳本。而Rig則會開啟正常網站,比如某服飾網站截圖，也許是為了讓廣告看起來不那麼可疑。

圖1、Rig漏洞攻擊連鎖行為

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

在出現勒索訊息之前,勒索病毒暗中做的四件事

2016 年 08 月 31 日2016 年 09 月 02 日趨勢科技 TrendMicro

勒索病毒：幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫，不僅危害一般的使用者，還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽，勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒，直到他們看到勒贖訊息突然出現在螢幕上，但那時為時已晚。

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言

對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果，在受害者看到勒贖通知之前,這中間發生了什麼事？

1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內，通常是以可執行檔的格式。在Windows環境，惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾，原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

2.連線到特定網站收發資訊

一旦惡意軟體進入系統，它會連上網路並且聯絡伺服器，在這個階段，勒索病毒跟命令和控制（C&C）伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡（趨勢科技偵測為RANSOM_POGOTEAR.A），惡意軟體連到特定網站來收發資訊。

3.搜尋特定類型的檔案進行加密 繼續閱讀

從六隻常見勒索病毒訊息,分辨您感染了何種勒索病毒

2016 年 08 月 30 日2016 年 09 月 01 日趨勢科技 TrendMicro

自從勒索病毒 Ransomware (勒索軟體/綁架病毒) 首次出現以來，其數量已翻了數倍，而且隨著新的家族和變種不斷出現，再加上原有的家族亦持續更新，這所有的跡象都顯示勒索病毒的問題仍在持續擴大當中。勒索病毒之所以能夠得逞，很重要的一個原因是它能讓受害者心生恐懼，因此很容易乖乖就範，照著勒索訊息的指示支付贖金。

勒索訊息的內容大致包含付款資訊和威脅內容：經由什麼方式付款、該付多少、不付的後果會怎樣等等。但是，受害者顯然想知道更多資訊，可能的話最好知道如何防範勒索病毒，或者，是否有辦法移除勒索病毒，例如使用免費解密工具。不過，首先您必須知道您感染的是什麼勒索病毒，以下我們將介紹x六個最常見的勒索病毒以及勒索訊息來幫助您跨出這第一步。

CERBER:會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金
CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕
奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除
Locky：迫使醫院緊急將所有電腦關機,改用紙本作業
RAA:不僅會偷密碼，還會偷比特幣錢包
MIRCOP: 做賊喊抓賊的,說自己是受害者的

當 RAA 第一次亮相時，最令人矚目的是它使用 JScript 來躲避偵測，並且讓自己更容易透過編碼來隱藏。進入系統之後，RAA (趨勢科技命名為 RANSOM_JSRAA.A) 會搜尋下列副檔名的檔案：.doc、.xls、.rft、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar、.csv 等等，接著將檔案加密，然後在檔名末端加上「.locked」副檔名。除此之外，RAA 還會在系統植入專門竊取資料的 FAREIT (亦稱為 Pony) 惡意程式，它會搜尋系統上儲存的 FTP 用戶端和其他檔案管理軟體、電子郵件用戶端、網站瀏覽器、甚至比特幣(Bitcoin) 錢包的帳號密碼。蒐集到的資料會傳送至某個幕後操縱 (C&C) 伺服器。其勒索訊息是以俄羅斯文撰寫，內容提供了支付贖金的步驟，贖金最高 0.39 比特幣 (約合 7308 台幣)。

***CERBER:*會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金**

Cerber (趨勢科技命名為 RANSOM_CERBER.A) 最明顯的特徵是具備語音功能，會逐字唸出勒索訊息的內容，以說話方式不斷提醒受害者支付贖金。Cerber 犯罪集團要求的贖金為 1.24 比特幣(根據 2016 年 8 月 23 日的匯率約合 23,238 台幣)，付款期限是七天，過了期限之後贖金將加倍。正如其勒索訊息所說，受害者的照片、資料庫以及其他重要文件都已遭到加密，受害者電腦上所有下列副檔名的檔案都會遭到加密：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4、.mpg，而且副檔名會改成「.cerber」。

CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕

當 CryptXXX (趨勢科技命名為 RANSOM_WALTRIX.C) 一開始被發現時，它是從早期勒索病毒 Reveton 所衍生而來,經過多次改版和改頭換面之後，現在它已變得相當難以破解。最新的版本不僅會將檔案加密，某些 CryptXXX 變種還會將電腦螢幕鎖住，讓使用者根本無法使用電腦 (但這樣的作法似乎有點適得其反，因為使用者不能使用電腦就看不到勒索訊息)。CryptXXX 已知可加密的檔案類型有 200 多種，包括：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4 以及 .mpg 等等，加密之後副檔名會變成「.crypt」。有趣的是，病毒的作者在某次更新時突然決定「大發慈悲」，給受害者更長的期限來支付 500 美元的贖金，但期限過後贖金依然會加倍。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除

繼續閱讀

使用拋棄式電子郵件信箱服務的 R980 勒索病毒

2016 年 08 月 22 日2016 年 08 月 30 日趨勢科技 TrendMicro

或許是受到犯罪集團一再得逞的鼓舞，駭客們不斷開發出新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族和變種，而且速度快得驚人，最新出現的一個家族叫作「R980」(趨勢科技命名為 RANSOM_CRYPBEE.A)。

經由垃圾郵件或已遭入侵的網站散布

就目前所知，R980 是經由垃圾郵件或已遭入侵的網站散布。就像 Locky、Cerber 和 MIRCOP 一樣，挾帶此勒索病毒的垃圾郵件附檔當中暗藏著惡意巨集 (W2KM_CRYPBEE.A)，會從某個網址下載 R980。從今年 7 月 26 日趨勢科技偵測到 R980 至今，已發現多次它連線至該網址。

圖 2：惡意文件當中暗藏的巨集，此程式碼會從 hxxp:// bookmyroom.pk/assets/timepicker/f.exe 這個網址下載勒索病毒。

可加密的檔案類型有 151 種

R980 可加密的檔案類型有 151 種，使用的是 AES-256 和 RSA 4096 演算法。儘管被加密的檔案檔名末端會加上「.crypt」副檔名，但它卻與使用相同副檔名的舊版 CryptXXX 勒索病毒沒有任何相似之處。在加密方面，R980 使用了某個加密服務供應商 (CSP) 的 Windows 軟體程式庫來執行加密。