盤點 2016 年六大勒索病毒

2016 年 11 月 08 日2017 年 02 月 22 日趨勢科技 TrendMicro

光是在2016年上半年，新出現的勒索病毒家族數量就成長了172%。趨勢科技封鎖了超過1億次的勒索病毒攻擊。以下列出2016年惡名昭彰的六隻勒索病毒:

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」
2. CERBER：會說話的加密勒索軟體,台灣是攻擊目標
 3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集
 4.Crysis: 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播
 5. CryLocker: 打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿
 6.Stampado: 每六個小時就會有一個隨機檔案被永久刪除，96小時後解密金鑰就會永遠消失

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」

「 YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站，別再看這麼多色情影片了。現在你必須付出代價)這是新的加密勒索軟體JIGSAW 的勒索訊息之一

為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。「JIGSAW」(電動線鋸)勒索病毒家族，讓人聯想到Saw《奪魂鋸》這部恐怖電影。JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態，每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。

⊙延伸閱讀:《奪魂鋸》殺人魔化身勒索軟體 JIGSAW:重新開機,刪除 1,000 個檔案;未在 72 小時內付款,刪除所有加密檔案

2. CERBER：會說話的加密勒索病毒,台灣是攻擊目標

「注意！注意！注意！」
「你的文件、照片、資料庫和其他重要檔案都已經被加密！」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

雖然Cerber有好幾個變種，最原先的版本最嚇人 – 會用語音來告訴受害者已經中毒了，以下是音頻檔案：

音訊播放器

00:00

使用向上/向下鍵以提高或降低音量。

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（勒索軟體即服務也就是RaaS）。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

⊙延伸閱讀: Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集

這個帶嘲諷的勒索病毒將責任歸咎於受害者，並假設他們知道如何付錢。此外，這有V怪客的圖檔也夠讓人驚嚇了 – 因為勒贖金額將近29,000美元！繼續閱讀

趨勢科技資深威脅研究員,透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

2016 年 10 月 27 日2016 年 10 月 22 日趨勢科技 TrendMicro

Yara 是一個資安研究人員所使用的開放原始碼工具，可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久，一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS) 威脅，不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本，原本我打算在這些樣本之間找找看有沒有共同的字串，但沒有成功。後來我比對了各檔案之間的結構發現，每一個檔案末端都有一段有趣的內容，從位移 0xde000 處開始：

圖 1：Stampado 勒索病毒樣本內容以十六進位碼顯示。

檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事，他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客，說明中有提到這件事：

圖 2：給 Stampado 買家的使用說明。

我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組，數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號)，然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用，因為在 DOS/Windows 系統下，如果要換行的話，正確的方式是 0x0d 0x0a (也就是 CR + LF：返回開頭並前進一行)，至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣， Stampado 的樣本檔案末端都會帶著一個 CR 符號，這也算是個有趣的特徵，這樣就能建立 Yara 規則來偵測這個惡意程式。繼續閱讀

CryLocker勒索病毒利用PNG檔案上傳受害者資料,透過 Google Map定位 API取得相關位置

2016 年 09 月 21 日2016 年 09 月 19 日趨勢科技 TrendMicro

利用正常網站當作命令與控制伺服器（C&C）通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器，也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。

最新的一個勒索病毒 CryLocker（偵測為RANSOM_MILICRY.A）也是類似地會利用Imgur，這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時，發現 Rig和Sundown都會散播此威脅。

勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿

這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後，勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。

圖1、受害者資料被打包成PNG圖檔並上傳到Imgur相簿的截圖。

漏洞攻擊套件透過惡意廣告散播

趨勢科技在9月1日發現惡意廣告活動透過 Rig漏洞攻擊套件來散播此勒索病毒。但從9月2日開始就停止派送。仔細檢查上傳到Imgur的 PNG圖檔後，我們注意到有資料是早在8月25日就被加密。

圖2-3、Sundown和Rig漏洞攻擊套件的流量

繼續閱讀

ZCRYPT加密勒索病毒專挑 Windows 7 及新版作業系統

2016 年 06 月 02 日2016 年 06 月 02 日趨勢科技 TrendMicro

想知道現在最流行什麼嗎？很簡單：看看市面上什麼粗製濫造的仿冒品最多就知道了。最近，勒索病毒 Ransomware (勒索病毒/綁架病毒)似乎也開始經歷這個階段。

ZCRYPT 勒索病毒家族的作者要不是完全放棄 Windows XP 平台，就是程式粗製濫造。因為這個新的惡意程式家族只能攻擊 Windows 7 (含) 以上的作業系統。這讓人不禁懷疑 ZCRYPT到底是故意放棄那些老舊作業系統，還是單純只是程式沒寫好？

純粹的加密勒索病毒

ZCRYPT 乍看之下並無特殊之處，它會將使用者的檔案加密，特徵是會將附檔名改成 .ZCRYPT。以下檔案格式都是它的目標：

.zip、.mp4、.avi、.wmv、.swf、.pdf、.sql、.txt、.jpeg、.jpg、.png、.bmp、.psd、.doc、.docx、.rtf、.xls、.xlsx、.odt、.ppt、.pptx、.xml、.cpp、.php、.aspx、.html、.mdb、.3fr、.accdb、.arw、.bay、.cdr、.cer、.cr2、.crt、.crw、.dbf、.dcr、.der、.dng、.dwg、.dxg、.eps、.erf、.indd、.kdc、.mdf、.mef、.nrw、.odb、.odp、.ods、.orf、.p12、.p7b、.p7c、.pdd、.pef、.pem、.pfx、.pst、.ptx、.r3d、.raf、.raw、.rw2、.rwl、.srf、.srw、.wb2、.wpd、.tar、.jsp、.mpeg、.msg、.log、.cgi、.jar、.class、.java、.bak、.pdb、.apk、.sav、.tar.gz、.emlx、.vcf。

受害者必須在一星期內付款，否則它就會將前述檔案刪除。其要求的贖金為 1.2 比特幣（Bitcoin）幣 (約 500 美元)，四天之後贖金將自動提高到 5 比特幣 (約 2,200 美元)。其勒索畫面如下：

圖 1：勒索畫面。

不過，在只能在 Windows 7 (含) 以上的作業系統運作。根據趨勢科技的分析，當它在一些較舊的 Windows 作業系統 (如 Windows XP) 上執行時，不是無法將檔案加密，就是無法顯示勒索畫面。因為此惡意程式呼叫了一個舊版 Windows 所沒有的函式，因此在舊版作業系統上無法正常運作。

試圖經由 USB 隨身碟傳染

值得注意的是，這個家族還會試圖經由 USB 隨身碟傳染，它會將自己複製一份到可卸除式磁碟上。這樣的手法在加密勒索病毒當中算是少見，不過我們倒是曾在 2013 年 12 月發現的 CryptoLocker 變種看過類似行為，但此手法後來並未流行。對於加密勒索病毒的作者來說，當今主流的散播管道：惡意廣告和垃圾郵件，似乎已經足夠。繼續閱讀

追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載

2016 年 04 月 22 日2024 年 07 月 11 日趨勢科技 TrendMicro

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索軟體,有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索軟體 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。

現在讓我們一起認識「Drive by download」路過式下載。