開放原始碼 - 資安趨勢部落格

勒索病毒跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話

2017 年 04 月 17 日2017 年 04 月 25 日趨勢科技 TrendMicro

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

< 近期勒索病毒回顧 >教學用開放原始碼勒索病毒，被網路犯罪集團用於不法用途

在前期勒索病毒回顧當中談到了一些新的 HiddenTear 勒索病毒變種，例如 Enjey Crypter (趨勢科技命名為 RANSOM_HiddenTearEnjey.A)，該病毒是從 EDA2 勒索病毒衍生而來。與 HiddenTear 一起開發的 EDA2 原本也是教學用開放原始碼勒索病毒，但後來被網路犯罪集團用於不法用途。

本次發現的許多變種都是從 HiddenTear 勒索病毒小幅修改而來。下文介紹兩隻:

GC47 (Ransom_HiddenTearGCFS.A):顯示假的 Windows 升級視窗,被加密檔案副檔名還改為髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! 這隻勒索病毒會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。一旦使用者點選了「ok」按鈕，就會開始執行加密程序。被加密的檔案包括文件、多媒體檔、影像檔等等，並且檔名末端會多了「.Fxck_You」副檔名。歹徒在勒索訊息當中要求支付 50 美元的檔案解鎖費用 (約 0.04 比特幣)。繼續閱讀

趨勢科技資深威脅研究員,透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

2016 年 10 月 27 日2016 年 10 月 22 日趨勢科技 TrendMicro

Yara 是一個資安研究人員所使用的開放原始碼工具，可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久，一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS) 威脅，不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本，原本我打算在這些樣本之間找找看有沒有共同的字串，但沒有成功。後來我比對了各檔案之間的結構發現，每一個檔案末端都有一段有趣的內容，從位移 0xde000 處開始：

圖 1：Stampado 勒索病毒樣本內容以十六進位碼顯示。

檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事，他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客，說明中有提到這件事：

圖 2：給 Stampado 買家的使用說明。

我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組，數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號)，然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用，因為在 DOS/Windows 系統下，如果要換行的話，正確的方式是 0x0d 0x0a (也就是 CR + LF：返回開頭並前進一行)，至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣， Stampado 的樣本檔案末端都會帶著一個 CR 符號，這也算是個有趣的特徵，這樣就能建立 Yara 規則來偵測這個惡意程式。繼續閱讀

技術長見解：漏洞出售中

2015 年 04 月 21 日2015 年 04 月 21 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

2014年顯示了漏洞可以在所有的應用程式中發現 — Heartbleed心淌血漏洞和Shellshock都讓系統管理者出乎意料，顯示出開放原始碼伺服器應用程式也可能出現嚴重的安全性漏洞。

現實是，要讓軟體完全沒有漏洞是困難且代價高昂的，即便並非完全不可能。每一千行程式碼中，你可以預期找出15到50個某種錯誤。這錯誤率在真正關鍵的應用程式（像是太空探險用）上可能會較低，但這需要軟體開發成本付出額外的時間和金錢。

儘管這樣很耗費成本，開發人員還是需要更好地去建立安全的產品。軟體漏洞如何被發現和披露的變化意味著使用者因為安全性漏洞所面對的風險都比以往都還要大。

在過去，被發現的漏洞會回報給開發人員，好讓他們可以修復以盡可能地保護更多的使用者。然而，有越來越多發現安全性漏洞的公司將這些資訊賣給出價最高者。這無法幫助任何人 — 除了從事買賣這些漏洞的公司。開發人員無法修復他們的產品，使用者遺留在風險中，安全社群的大多數人都還一無所悉。整體來說，網路是更加不安全的。

所以某些國家的政府已經在設法控制這些市場並不令人驚訝。在去年，瓦聖納協定（Wassenaar Arrangement）考慮將漏洞攻擊程式碼列入新的「入侵軟體」領域；此協定所涵蓋的項目被認為是「雙重用途」（即軍事和民間應用）。這表示協定的41個成員國可能對這些項目進行出口管制。事實上，今年Pwn2Own的準出席者被要求與其律師確認他們是否需要出口授權或政府通知才能參加。

當然，發現漏洞的研究人員也想為自己的努力獲取回報。這有許多方式可以達成，無須將漏洞賣到公開市場上。主要網站和廠商都提供漏洞獎金給在他們產品找出漏洞的研究人員。有許多方法能夠讓研究人員得到報酬，而無須將漏洞放在公開市場上。

我們不能強迫公司或個人停止買進或賣出漏洞，我們所能做的就是減少貨源。通過建立更加安全的產品，包含更少的漏洞及更好的解決那些已知問題，我們讓網際網路對每個人來說都更加安全。