勒索軟體 Ransomware - 資安趨勢部落格

擷取桌面截圖的JobCrypter勒索病毒變種,索1,000 歐元贖金

2019 年 01 月 31 日2019 年 01 月 31 日趨勢科技 TrendMicro

快過年了,勒索病毒紛紛變相拜年討紅包,繼不加密，直接刪除檔案，再格式化備份磁碟的MongoLock變種和夾帶JavaScript惡意程式,散播勒索病毒挖礦程式的垃圾信等把台灣列入重點感染區的病毒後,又有一隻勒索病毒來襲: JobCrypter 變種。

受害者必須在 24 小時內支付 1,000 歐元的贖金以取得檔案解密金鑰,

2017 年初感染數以千計企業和個人使用者的新興勒索病毒Ransomware家族之一JobCrypter,近日變種再進化,趨勢科技最近發現了一個 JobCrypter變種出現新的加密行為，並且會擷取受害電腦桌面的截圖，然後將截圖傳送至某個電子郵件地址。它除了會將檔案重複加密之外，其勒索訊息也一反常態地附加在被加密的檔案內。該勒索病毒要脅受害者必須在 24 小時內支付 1,000 歐元的贖金以取得檔案解密金鑰, 。

將受害者電腦桌面的截圖連同系統相關資訊透過 SMTP 傳送至某個電子郵件地址

新的 JobCrypter 樣本 (趨勢科技命名為 RANSOM.WIN32.JOBCRYPTER.THOAAGAI) 正在網路上流傳，根據通報指出它出現在某個可能已遭入侵的網站。儘管此惡意程式的安裝和啟動程序皆與 2017 年那波攻擊相同，但此樣本卻增加了一項新的行為，會將受害者電腦桌面的截圖連同系統相關資訊透過 SMTP 傳送至某個電子郵件地址。除此之外，也會偵測它所建立的系統登錄機碼「HKCU\Software\MOI」是否存在。

圖 1：JobCrypter 新增了擷取感染電腦桌面抓圖的行為。

圖 2：惡意程式會將電腦桌面截圖連同系統相關資訊傳送至某個電子郵件地址。

繼續閱讀

< 勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks

2017 年 05 月 27 日2019 年 09 月 27 日趨勢科技 TrendMicro

由於 WannaCry(想哭)勒索病毒/勒索蠕蟲的大規模散播，讓勒索病毒在五月成為全世界的焦點。從最初的攻擊之後，我們又看到了 UIWIX、Adylkuzz 和最近的 EternalRocks 都在使用相同的核心漏洞。

三種威脅間的共同點是MS17-010以及 Shadow Brokers 所披露的工具和漏洞。這些威脅不僅攻擊了系統上的漏洞，還充分地利用了企業在修補程式管理和系統升級上所面臨的根本難題。讓我們來看看它們所造成的影響，並思考一下為什麼這些威脅會發生。

但首先，我們來快速比較一下WannaCry、UIWIX和EternalRocks：繼續閱讀

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

2016 年 07 月 08 日2020 年 03 月 09 日趨勢科技 TrendMicro

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時?

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

*並不創新的垃圾郵件做法:社交工程***

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。繼續閱讀

中了勒索病毒怎麼辦?該不該付贖金? (內有免費解密工具 )

2016 年 05 月 26 日2020 年 03 月 09 日趨勢科技 TrendMicro

近來勒索病毒驚傳變種，透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰！ |
PC-cillin 雲端版“勒索剋星”可防範 WanaCry 等勒索病毒，保護珍貴檔案，防止電腦被綁架，快為您的電腦做好防護！
防範勒索病毒 PC-cillin 用戶請至這裡點選”免費體驗”即可免費升級至最新版本

台灣受駭創新高付錢不能保證檔案能取回

在臺灣有受駭案例，付錢後卻沒有救回檔案，甚至加碼更高的贖金,所以沒有人能夠保證付錢之後檔案可以救回來。支付贖金不僅是一種賭注,更會助長勒索病毒持續氾濫。何況付了款，不一定就能拿到解密金鑰。

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,有粉絲在趨勢科技粉絲頁留言:

這並不是個案,無獨有偶的是有網友在論壇上求助,說想利用假日在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索病毒 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。