綁架軟體 - 資安趨勢部落格

目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

2016 年 04 月 08 日2018 年 10 月 23 日趨勢科技 TrendMicro

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後，醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

根據 Cisco 旗下威脅情報中心 Talos 的發現，SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞，而非透過惡意廣告或惡意電子郵件社交工程（social engineering ）技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布，並且利用這些伺服器來入侵更多電腦系統，進而搜尋電腦上的重要資料並加以加密，其主要攻擊目標為醫療產業。

[延伸閱讀：Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動，並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是，Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中，歹徒要求的贖金是每一台電腦1.5個比特幣（Bitcoin），或者是22個比特幣（Bitcoin）的代價清除所有受感染的電腦。

[延伸閱讀：勒索軟體如何運作]

FBI警告，SAMSAM 會「手動搜尋並刪除」備份檔案，逼迫受害企業就範

繼續閱讀

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

2016 年 03 月 25 日2016 年 04 月 08 日趨勢科技 TrendMicro

美國肯德基州亨德生市 (Henderson) 的基督教衛理公會醫院 (Methodist Hospital)網站首頁上一個紅色跑馬燈公告其網路已不幸遭到網路駭客入侵，該醫院被迫進入「內部緊急狀況」。公告上表示：「基督教衛理公會醫院目前正因電腦病毒入侵的關係而進入內部緊急狀態，網站上許多電子服務都無法使用。我們正努力解決這項問題，在恢復之前，網站服務和電子通訊將受到影響」。

該事件起因是某個勒索軟體 Ransomware 入侵了該醫院的電腦系統，挾持了醫院的檔案 (將檔案加密使其無法使用)，並且向醫院勒索贖金。

[延伸閱讀：勒索軟體如何運作]

根據基督教衛理公會醫院資訊系統總監 Jamie Reid 的說法，該惡意程式屬於Locky 加密勒索軟體 Ransomware家族，此家族會將受感染系統上的重要檔案 (如文件和影像) 加密。受害者若想取回資料，就必須支付一筆贖金，不然就得看看未受感染的網路上是否有先前備份的資料。根據報導，駭客要求的贖金為 4 個比特幣（Bitcoin），相當於 1,600 美元。

今年二月下旬，研究人員曾發現 Locky 利用一個含有惡意巨集的 Word 檔案來入侵電腦系統。該勒索軟體 Ransomware是經由冒充寄送發票的電子郵件入侵受害者系統，郵件中挾帶一個含有惡意巨集的 Word 文件。基督教衛理公會醫院的案例正是如此，收件人也收到了惡意的電子郵件並開啟了惡意附件檔案。

[延伸閱讀：Locky：發現新型態加密勒索軟體]

醫院被迫所有作業流程都暫時改用紙本來處理

根據 Reid 的描述，此加密勒索軟體 Ransomware已從最初感染的電腦擴散至網路上的多部電腦。因此該醫院緊急將所有的桌上型電腦關機，並且逐一清查每部電腦是否遭到感染之後才讓電腦重新開機上線，在這套程序完成之前，所有作業流程都暫時改用紙本來處理。

該醫院的律師 David Park 表示：「我們幾年前就曾制定了一套周全的緊急應變體系，因此我們突然發現，當每個人都討論醫院的電腦出了狀況，或許我們應該將它當成風災來處理，因為我們基本上等於所有系統都已暫時關閉，然後再一部一部重新復原」。

然而這起事件之前不到一個月左右，另一家醫療機構才發生過類似的勒索軟體攻擊。2016 年 2 月，Hollywood Presbyterian Medical Center也曾經遭到同樣的手法攻擊，並造成了醫院營運癱瘓。該醫院最後支付了相當於 17,000 美元的比特幣當成贖金。

醫院員工的電子郵件帳號被駭客入侵，病患個資外洩

除此之外，駭客還有其他從醫療產業獲利的方法。根據報導，一家癌症治療機構21st Century Oncology Holdings前不久才發生資料外洩，共有約 200 萬名病患的資料外流。還有另一起獨立的案例是City of Hope研究醫療中心因遭到網路釣魚（Phishing）攻擊而導致某員工的電子郵件帳號被駭客入侵，竊取了一些病患姓名、病歷號碼、出生年月日、地址以及其他病患和醫療資訊。繼續閱讀

勒索病毒找下線! Chimera :「要乖乖付錢還是一起駭人賺黑心錢 ? 」

2015 年 12 月 11 日2017 年 06 月 08 日趨勢科技 TrendMicro

要當受害者還是業務夥伴？

這是加密勒索軟體 Chimera (Ransom_CRYPCHIM.A) 給您的難題。乍看之下，這個惡意程式如同一般典型的加密勒索軟體 Ransomware。然而，Chimera 在三方面有其獨特之處。

網路勒索

威脅將資料公開：Chimera 不僅將檔案加密，還會威脅受害人若不支付贖金就將檔案公布在網路上。這是我們第一次見到加密勒索軟體威脅要公開被加密的資料。

ng
圖 1：此惡意程式的勒索訊息有兩種版本：德文和英文。

當然，威脅將資料公開可以提高受害者付款的機率。畢竟，使用者只要有備份檔案就不怕資料被歹徒加密。但若資料遭到外流，恐怕就不是那麼容易解決。

根據趨勢科技分析顯示，儘管歹徒威脅將資料公開，但此惡意程式卻缺乏將檔案傳送至幕後操縱 (C&C) 伺服器的能力。它唯一傳送至 C&C 伺服器的資訊只有它產生的受害者識別碼 (ID)、比特幣（Bitcoin）位址和私密金鑰。

合作計畫

在勒索訊息當中，歹徒還對受害者提出了另一項提案。訊息的最下方邀請使用者加入他們的合作計畫，至於詳細內容，則記載在他們的原始程式碼當中。這項計畫很顯然是針對有技術背景的人。

圖 2：邀請受害者參加合作計畫。

趨勢科技解譯後的程式碼當中確實看到一個可讓有興趣的人和歹徒連絡的位址。這是一個比特幣位址，受害者可利用比特信 (Bitmessage) 來傳送點對點加密訊息給歹徒，此通訊協定可保障收發兩端的私密性。

圖 3：原始程式碼當中的訊息。

贖金支付

受害者該如何支付贖金給歹徒？

歹徒在勒索訊息當中指示受害者去下載一套解密軟體。下載之後，該軟體首先會搜尋系統上被加密的檔案和勒索訊息，以找出受害者的比特幣位址。

接著就會顯示付款指示訊息，如下所示：

圖 4：進一步的付款指示。

此外，解密軟體當中還包含了 BitMessage 比特信傳送軟體。一旦付款確認之後，歹徒就會發送一封內含受害者識別碼和解密金鑰的比特信，讓解密軟體用來確認受害者並進行解密作業。

勒索軟體服務（Ransomware-as-a-Service,RaaS）

惡意程式作者竟然會敞開大門招募合作夥伴？這看來似乎有點違反常理。畢竟，誰會想要將利潤和別人分享？

不過，推銷勒索軟體 Ransomware服務 (RaaS) 確實有其效益。RaaS 可減少非法活動被人追蹤至源頭的可能性。此外，將勒索軟體 Ransomware當成服務來販售，勒索軟體的作者便不需冒著被追查的龐大風險，就能獲得一定的利潤。而且 Chimera 提供了 50% 的抽成，算是小小的付出就能獲得相當的報酬。

不過，若相較於其他勒索軟體 (如：CryptoWall 和 TeslaCrypt)，我們發現 RaaS 並不夠精密。有時甚至連整個營運都還沒完全起步就已經遭到破獲。其程式碼缺乏任何編碼，因此研究和調查人員只需比對特殊字串就能偵測這類威脅。有些 RaaS 缺乏良好的 C&C 基礎架構或者並未善加利用 Tor2Web，僅靠著一個可下載的 Tor 執行檔來進行通訊。

是否該支付贖金？

Chimera 的手法對勒索軟體來說或許是新的花招，但仍不出我們對 2016 年的預測，也就是網路勒索必將崛起。我們提到，未來網路勒索集團將會想出更多新的方法來針對個別受害者的心理，讓每一次的攻擊變得更「個人化」，不論其目標是特定使用者或是某家企業。名譽就是一切，因此能夠威脅個人或企業名譽的攻擊，不但非常有效，而且最重要的，非常有利可圖。而將受害者的個人檔案公開在網路上，顯然是歸類在破壞個人名譽的手法當中。

或許，向歹徒妥協並支付贖金是較為容易的作法，但誰也無法保證網路犯罪集團會遵守約定。要確保自己不怕遇到勒索軟體，我們呼籲您應該謹守 3-2-1 原則來定期備份自己的檔案。

相關檔案雜湊值：

806a8b0edee835c0ff1bb566a3cb92586354fec9
8b91f3c4f721cb04cc4974fc91056f397ae78faa
a039ae3f86f31a569966a94ad45dbe7e87f118ad

原文出處：Chimera Crypto-Ransomware Wants You [As the New Recruit])|作者：Anthony Joe Melgarejo (威脅回應工程師)

【延伸閱讀】
認識 Cryptolocker 等勒索軟體/病毒(綁架病毒) ,該如何預防？

一位公司員工在辦公室查看一下自己的信箱，看到一封看似重要訊息的郵件，因此就點了裡面的連結。隨即，畫面上閃爍著一段勒索訊息表示系統及系統上的所有檔案都已被鎖住。該員工必須在 72 小時之內支付贖金來解開這部電腦，不然檔案將永遠無法挽回。

加密勒索軟體/綁架病毒鼻祖CryptoLocker — 勒索軟體 CryptoLocker 出現簡中版

PC-cillin 2016雲端版已有增加對勒贖軟體加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮》

《資安新聞週報》勒索軟體在臺猖獗，上半年13萬個裝置中標/銀行惡意程式持續肆虐台灣也成受駭國家之一

2015 年 11 月 30 日2015 年 12 月 17 日趨勢科技 TrendMicro

歡迎來到資安新聞週報，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。 news2

趨勢：勒索軟體在臺猖獗，上半年13萬個裝置中標 iThome

最近有一則訊息在工程師中廣為流傳，那就是臺北市某公司的會計部門同仁，因為點擊一則iPhone得獎的詐騙郵件後，導致公司的ERP系統被勒索軟體加密，甚至於連員工付錢都無法順利解密，造成公司資料損失，硬碟必須格式化、系統必須重灌的慘劇。根據資安公司趨勢科技預測，勒索軟體對個人和企業的威脅，到2016年都不會減緩，也會出現更針對個人和企業商譽威脅的勒索軟體 Ransomware，贖金將遠遠超過現有勒索軟體勒索300元比特幣的金額。

駭客3大攻擊手法曝光綁架硬碟要脅付贖金雅虎奇摩(科技)

趨勢科技整理出駭客最愛的3大攻擊手法，其一就是「惡意網站」，以趨勢科技的資安數據資料顯示，台灣在全世界是點選惡意網址排行第3名的國家，雖然惡意網站、網址的攻擊已經相當「老派」，但仍會有許多網友「中招」。

LOL遭襲損失418萬駭客判罰6萬元自由時報電子報

24歲男子胡鈺祥去年以DDoS攻擊台灣競舞娛樂公司旗下的遊戲「英雄聯盟（LOL）」，造成該公司損失418萬9576元，基隆地院法官審理後，認為胡男犯後態度良好，因此依無故干擾他人電腦相關設備罪，判有期徒刑2月，得易科罰金6萬元。

胡男去年6月幫其他玩家代打LOL，被勁舞公司察覺而封鎖其帳號，引發不滿，利用購得的軟體對LOL發動DDoS攻擊，大量封包同一時間佔滿伺服器頻寬，導致斷線，造成許多玩家無法上線，勁舞公司自估損失418萬9576元。

銀行惡意程式持續肆虐感染美、英、日網銀使用者眾台灣也成受駭國家之一 C4IT News Channel

每年年底最重要的資訊消費展「台北資訊月」，即將在十一月二十八日至十二月六日於台北世貿展覽館盛大展出。全球網路安全領導品牌趨勢科技年度產品趨勢科技PC-cillin 2016雲端版，獨家雲端截毒技術提供領先業界平均50倍的防禦速度並擁有全球最高病毒攔截率99.8%，更率先支援微軟最新Windows 10作業系統，傲視全球。在資訊月期間為回饋消費者，趨勢科技團隊祭出誘人現購優惠，眾多超值獨家贈品只在台北資訊月攤位(攤位號碼：世貿一館D814、B826)，千萬別錯過！
【延伸閱讀】12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

《科技》銀行惡意程式，駭進台灣中時電子報(科技脈動)

從趨勢科技趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示，自2014年十月起DRIDEX此銀行惡意程式即透過惡意電子郵件開始危害網路銀行的使用者，在過去三個月內於美國、英國及日本受感染的使用者占全部感染數45%以上，台灣也列入受害國家之中。

超懶駭客！請假回信泡咖啡全靠程式自動處理自由時報電子報

如果超過晚上 9 點公司電腦還是維持登入狀態，系統就會自動發送訊息給他老婆，有三個理由可切換使用，包含「努力工作中」、「有個功能要提交」、「有人又弄壞系統了」。

一名自稱 Narkoz 的人最近在 GitHub 公開了一批程式腳本，這些程式腳本的用途讓人相當訝異：包含自動回覆客戶郵件、發送請假訊息、應付老婆來電、以及自動泡咖啡！

【延伸閱讀】帳戶被國家級駭客攻擊？現在 Facebook 會主動警告！

旅館業資料外洩連環爆 ! 希爾頓全球4500家飯店POS恐全遭殃 iThome

最近顯然是飯店業者資訊安全的多事之秋。不到一週前喜達屋集團才出面承認POS系統遭惡意程式攻擊竊取客戶信用卡資料，24日，希爾頓集團亦主動聲明：我們也中毒了！

【延伸閱讀】< IoE萬物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in

智慧錶易遭駭孩童陷綁架危機華視全球資訊網

智慧型手錶問世後，很多家長買來掌握孩子行蹤，一方面也能讓小孩、用手錶發出求救！但資安專家卻發現，一些智慧型手錶的軟體安全防護不夠，容易被駭客入侵，反而可以掌握學童的動向，輕易綁走小孩。

【延伸閱讀】< IoE 萬物聯網新趨勢 >關於智慧型手錶所要想到的事情

IS「暗黑網站」竟被駭客入侵改賣威而剛！中時電子報網

IS一個「暗黑網站」則遭駭客入侵，被銷售威而剛和百憂解的廣告取而代之，並要這群極端份子「冷靜下來」。而該網站上周才開始號召新成員，短短不到1個禮拜就被駭，據知這是第一次有「暗黑網站」遭駭客入侵。繼續閱讀

趨勢科技公布2016 年資安預測網路勒索威脅更加頻繁行動惡意程式數量倍增行動支付系統成新興攻擊目標

2015 年 11 月 20 日2015 年 11 月 20 日趨勢科技 TrendMicro

台北訊】全球資安軟體與解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704)發表2016年度資安預測報告：「細微的界線：2016 年資安預測」(The Fine Line: 2016 Security Predictions)。報告指出網路勒索將更頻繁、行動惡意程式威脅數量在2016年底將成長至2,000萬，而新一代行動支付系統將成為駭客的重點目標。同時，隨著萬物聯網日益普及，民眾身邊將有更多連網裝置，預期2016將可能發生重大消費型智慧裝置故障事件。因應更加猖獗的網路犯罪行為，2016年全球打擊網路犯罪的行動將有更多具體改革，包括立法速度將變得更為迅速，公私部門合作也將更為密集，化守為攻主動出擊，打造更安全的網路環境。

趨勢科技防雙方是非常重要的一年。政府機關與企業機構將更重視網路安全，會有更多立法改革，而將有更多企業於組織中設置資訊安全長一職以統籌規劃企業資訊安全政策。然而，隨著使用者對網路威脅的意識不斷提升，駭客勢必會做出相對回應，於2016年發展出更精密且個人化的手法來攻擊特定人士或企業，如何善用威脅情報、建立客製化防禦能力在未來更顯重要。」

此外，報告指出2016 年也是惡意廣告的重要轉捩點。目前，美國已有 48% 的消費者正在使用網路廣告攔截軟體，而今年的全球使用率亦成長了 41%，這將使得廣告商開始改變網路廣告的經營方式，同樣地，網路犯罪集團也將試著尋找取得使用者資訊的其他途徑。

2015年發生數件鎖定知名企業的資安攻擊事件，包括Sony、Ashley Madison與Hacking Team 資料外洩事件等。趨勢科技預測2016 年將有更多駭客激進份子，藉竊取可對目標機構造成傷害的資料來發動「毀滅性」攻擊，而網路勒索將因採用心理學的犯罪手法與社交工程（social engineering ）的應用而加速發展。駭客激進份子將盡可能揭露更多不利資訊來打擊目標對象，造成二次傷害。繼續閱讀