勒索軟體 Ransomware - 資安趨勢部落格

勒索病毒也爆山寨版? 涉嫌抄襲 CryptXXX 的CrypMIC

2016 年 08 月 02 日2016 年 08 月 02 日趨勢科技 TrendMicro

俗話說：「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族，似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹，希望藉此海撈一票。

圖 1：超級比一比：CrypMIC (左) 和 CryptXXX (右) 勒索訊息及付款網站。

CrypMIC 和 CryptXXX 有許多共通之處：兩者都是經由 Neutrino 漏洞攻擊套件來散布，並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] / UXXXXXX])，而其函式的命名也相同 (MS1、MS2)。此外，兩者也都採用了客製化通訊協定，經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。

然而進一步分析之後，我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如，CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱，這讓使用者更難分辨哪些檔案已遭到綁架。此外，兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序，並且會將此資訊回報給 C&C 伺服器。

下表比較兩者的異同之處：繼續閱讀

你相信搜尋引擎找到的都是真的?! 夾毒山寨網頁搶搜尋排名,當心勒索病毒「找」上門

2016 年 08 月 01 日2023 年 05 月 19 日趨勢科技 TrendMicro

連 Google 大神也可能找到假的,肉眼難以分辨,跟眼睛業障重沒關係！

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO /Balck SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

網頁的煙幕彈愈來愈多，誤點惡意網址台灣排名全球第三,使用者除擔心惡意程式透過不明郵件的附件檔散播外，還得當心瀏覽網頁誤觸勒索病毒 Ransomware (勒索軟體/綁架病毒)暗中埋設的地雷。這些被下毒的頁面，很難憑肉眼察覺，小編整理分享幾個案例,希望大家下次搜尋找網站時，不要心急狂亂點擊搜尋結果,最好不要與勒索病毒或是埋藏在網頁中的惡意程式打照面。

要「牛奶」，給「腥羶」-最平凡的字彙，竟有另人臉紅的搜尋結果

在網路上搜尋最平凡的詞彙卻產生令人不堪入目的結果，其中不僅充斥各類色情網頁，更有夾帶惡意程式的色情圖片在其中。趨勢科技發現不僅造訪賭博網站或成人網站會受到網頁威脅攻擊，輸入一般性查尋的詞彙，所出現的連結更有出現令人傻眼的內容，例如輸入「 milk（牛奶）」這個字眼，竟出現「 Sex（性）」、Porn（色情）」等兒童不宜字眼。一旦好奇點選，更有被潛藏其中的惡意程式入侵之危險。

2011 年四月這則新聞陸網友受不了！下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞認識Black SEO( 搜尋引擎毒化)。話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》（因為大陸沒上映），擋得住電影上演卻檔不住大陸網友在網路上熱搜，不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵，導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版？」不少消費者抱怨大公司維修客服態度差，價格又亂報，後來才發現網路上很多維修官網都是假的，許多知名家電公司有都有仿冒官網，導致消費者對於無辜的公司抱怨不斷。

山寨版 LINE,網友:超像的!

網友曾在 PTT 爆料說有朋友有在 Yahoo 輸入”LINE”,結果顯示的第一條關鍵字廣告看起來是真正的 LINE 官方網站網址：https://line.me/zh-hant/,但點進去卻會自動轉址到有兩字之差的 LINE 釣魚網站(“me”變成 “pm”)：hXXp://line.pm/zh-hant

盜 LINE 帳號山寨版網路釣魚網站出現在 YAHOO 關鍵字搜尋廣告 ,A 是釣魚網站

當心你的同情心招濫用,網路詐騙集團跟你一起用搜尋引擎關心災難新聞

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。
比如 2011 年日本大地震時,被害的網友點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。繼續閱讀

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

2016 年 07 月 27 日2016 年 08 月 03 日趨勢科技 TrendMicro

Zepto 是一個最近隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

根據 Cisco Talos 威脅情報中心的報告，這波挾帶勒索病毒的垃圾郵件行動從 6 月 27 日開始採用一套新的檔案命名方式 (「swift [XXX|XXXX].js」)，並且運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

【延伸閱讀:勒索病毒竟知道你家地址? 】

在某個二進位惡意程式下載並執行之後，本機上的所有檔案都會被加密，接著惡意程式會顯示一個訊息，要求受害者支付一定的比特幣（Bitcoin）作為贖金。使用者看到的指示畫面是由惡意程式在電腦上植入的一個 .HTML 檔案和一個影像檔案所組成，同時桌面背景/桌布也會被換掉。在大規模垃圾郵件行動的推波助瀾下，Zepto 似乎獲得了不錯的成果，不過大多數的勒索病毒都是經由其他管道散布。

與 Locky 的淵源

Zepto 與 Locky (趨勢科技命名為 RANSOM_LOCKY.A) 在技術上頗有相似之處，他們都是經由垃圾郵件散布，並且使用 RSA 加密來鎖住檔案。Locky 自從 2016 年 2 月現身以來，即不斷演進，並且成功擄獲不少個人及企業受害者，除此之外更曾經出現在多起針對醫療院所的重大勒索病毒攻擊。繼續閱讀

勒索病毒:是你親手把檔案變成肉票!

2016 年 07 月 13 日2016 年 07 月 13 日趨勢科技 TrendMicro

那些看似尋常的網路行為,竟會讓自己成為檔案被加密的幕後推手?!

在看到勒索病毒加密訊息前,你到底做了什麼事?很多人費盡的回想,都找不到頭緒,以下四個案例可以說明那些看似尋常的網路行為,為何會讓自己成為檔案被加密的幕後推手。

案例一:「我只是偶爾上 FB,看新聞網站,早上一開機,檔案全被鎖住了」

近日台灣大量傳出災情的 CryptXXX(RANSOM_Waltrix)勒索病毒，主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的症狀。

我們一再提醒大家如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

案例二:「我沒有亂開網頁,印象裡有跳出一個程式說要更新,我按『確定』, 就中招了」

當你買保險時.你可能會逐字仔細閱讀,但在網路上按下”我確定”之前,你花多少時間確認? 根據趨勢科技的調查，有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意。

雖然我們一再提醒大家要適時更新作業系統和應用程式,但也得小心勒索病毒也會假冒官方發送假的更新通知。

案例三:「我打開一個看似發票通知的 word 附件,連網路硬碟都被加密了」

繼續閱讀

新 Jigsaw 奪魂鋸加密勒索病毒變種獅子大開口,要求高達5,000美元的比特幣贖金

2016 年 07 月 11 日2016 年 07 月 13 日趨勢科技 TrendMicro

Jigsaw 奪魂鋸加密勒索病毒 Ransomware (勒索軟體/綁架病毒)又出現新的變種 (趨勢科技命名為

RANSOM_JIGSAW.F116FN)，這次採用了匿名者 (Anonymous) 駭客團體的主題背景。新的 Jigsaw 變種比前一代更變本加厲，將原本 150 美元的贖金一下子提高到 $5,000 美元 (以比特幣支付)，且加密後的檔案副檔名改成「.epic」。此外，勒索訊息當中還表示將蒐集受害者的帳號密碼與電子郵件和即時通訊內容，並且威脅將發送一份給受害者的所有聯絡人，不過這項能力並未獲得證實，很可能只是一種恐嚇伎倆。

另一個之前出現過的 Jigsaw 變種還提供了公開聊天平台的帳號讓受害者可以和歹徒聯絡並討價還價，有趣的是，歹徒並無法確切知道受害者是何時感染的，因為其「倒數計時」是根據受害裝置上 Cookie 的記錄，如果 Cookie 被刪除了，倒數計時將回復到 24 小時，所以當下的贖金是多少，其實歹徒只能仰賴受害者誠實告知。

Jigsaw 加密勒索病毒 (趨勢科技命名為 RANSOM_JIGSAW.A) 首次出現於 2016 年 4 月，Jigsaw 借用了恐怖電影《奪魂鋸》(Saw) 的手法，不但將使用者的檔案鎖住，而且會每小時 (或是在程式重新啟動時) 刪除一批檔案，用意在製造受害者心理上的恐懼和壓力，迫使受害者付錢，因為，時間拖得越久，每批刪除的檔案數量就會增加。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

繼續閱讀