勒索病毒 - 資安趨勢部落格

2018年上半年影響企業的最大四種威脅

2018 年 11 月 13 日2018 年 11 月 11 日趨勢科技 TrendMicro

讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。

檢視駭客現在所使用的攻擊、入侵和病毒散播策略，就能夠了解在未來會繼續出現的安全問題，讓企業可以準備好正確的資料和資產保護措施。

每一年都有著過去延續下來及新出現的威脅，這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅（包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法）在資料安全領域是相當重要的。

趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題，整理出了2018年年中資安綜合報告：看不見的威脅帶來迫在眉睫的損失。

讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。

影響大量設備的漏洞

Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一，大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大，加上它讓駭客有機會讀取到儲存在系統記憶體內的資料，讓此漏洞在當時成為全球的新聞頭條。

而之後還有許多漏洞被找出，包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是，這些還不是今年唯一的知名漏洞。

正如趨勢科技在5月份所報告，在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞，其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用，因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。繼續閱讀

「花錢洗白負評」「中斷供應鏈」,數位勒索不只有勒索病毒

2018 年 10 月 23 日2018 年 10 月 09 日趨勢科技 TrendMicro

現在有許多企業高層都對數位勒索相當的熟悉了，特別是談到勒索病毒Ransomware (勒索軟體/綁架病毒)。這種加密檔案的攻擊會讓使用者無法使用自己珍貴的重要資料、應用程式或作業系統。攻擊者要求用無法追踪的虛擬貨幣來支付贖金以取得解密金鑰 – 這並不能保證在付款後真的會拿到。

勒索病毒攻擊在這幾年來一直對企業造成威脅。但這並非今日唯一的數位勒索手法。而就跟其他攻擊一樣，駭客在準備工夫和惡意軟體的功能方面也變得越來越進步。

隨著數位勒索攻擊的持續增加，IT領導者和高階主管必須確保自己了解這些威脅種類及其對整體公司信譽與合作夥伴和客戶關係可能造成的影響。

數位勒索說穿了，就是可以替網路犯罪分子帶來利潤

數位勒索崛起（且資安專家預測這些攻擊會在不久的將來大量出現）的一個主要原因是因為它們對駭客來說非常有利可圖。

勒索病毒及其他種類的數位勒索（我們將在後面深入探討）都有一個共同點：對網路犯罪分子來說可以帶來高利潤。當企業和個人使用者無法使用自己最重要的檔案和資料 – 特別是當這些關鍵資料沒有異地備份時，受害者被迫付錢給攻擊者來解密以重新取回檔案。

不幸的是，過去的勒索病毒攻擊已經證明了付錢給駭客並不代表攻擊就會結束。在某些案例（包括大規模WannaCry想哭勒索病毒攻擊期間）裡，受害者支付了贖金卻沒有拿到解密金鑰（甚至沒有收到任何回應）。還有一些案例在付了贖金後，駭客繼續要求更高的贖金才要回復檔案。

基於這種種原因，數位勒索已經成為企業所面對特別危險且具破壞性的威脅。

「數位勒索是網路犯罪分子在今日的威脅形勢中最有辦法賺錢的方法之一」，趨勢科技安全研究人員指出。「許多人都成為了這類邪惡計畫的犧牲品，並且損失了不少錢 – 從一般使用者到大企業都有。」

過去的數位勒索：DoS攻擊鋪平了道路

雖然目前對數位勒索攻擊的認識大多都跟勒索病毒有關，但這樣的獲利方式也被用在另一種熟悉的攻擊方法 – 阻斷服務攻擊。正如趨勢科技的「數位勒索：前瞻觀點」報告所指出，這種勒索手法已經被網路犯罪分子用了十多年，駭客已經相當駕輕就熟了。

「早安…我們希望你已經嘗到超過100Gbps的分散式阻斷服務攻擊 (DDoS)滋味。如果想讓它停止，請支付30比特幣給以下錢包…」這是報告內提到的一個例子。

就跟勒索病毒攻擊一樣，關鍵是讓其無法使用並強迫受害者付款。使用大量的網路流量轟炸關鍵系統（通常是面向消費者或客戶的平台）來讓其無法連線。

雖然不再是第一首選，但還是有駭客會利用DoS攻擊來進行勒索，迫使受害者付錢。畢竟如果一個品牌網站無法被連上，就算只停擺了幾個小時也可能會讓企業失去跟潛在客戶建立業務的大好機會。

駭客通常會寄送這樣的勒贖通知給企業和消費者。

「你注意到了你的連鎖飯店最近得到許多負面評價嗎？如果你希望此問題消失，請按照下列指示…」假網路評論, 對商業信譽的影響 繼續閱讀

《電腦病毒30演變史》「你的檔案我的肉票」勒索病毒找搖錢樹，連城隍老爺、警察大人都敢動！盤點2005-2017年駭人討債鬼

2018 年 10 月 03 日2018 年 12 月 22 日趨勢科技 TrendMicro

1986 年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。本篇討論勒索病毒….

膽大包天的勒索病毒 Ransomware連警察大人都敢勒索,甚至城隍老爺也沒在怕,有300年歷史的嘉義城隍廟內部文書處理系統也曾遭勒索。勒索病毒藏在郵件,藏在載點,藏在廣告裡,只要你上網,就有可能是它的覬覦目標。
2015年有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管調離現職。

2016年台灣網友傳出因追劇而中CERBER勒索病毒;2018年宜蘭租書店老闆,被勒索病毒入侵,乾脆結束營業。

歷年勒索病毒大事記:

2005 年勒索病毒誕生

2012年假冒警察,抓盜版軟體

2013年加密手法日益成熟

2013-2015 年太歲頭上動土,挑戰執法單位

2014年入侵Android系統, 勒索病毒在口袋趴趴走,

2014-2015年鎖定企業,台灣也受駭

2016年變種大幅攀升

2016年Locky迫使醫院改用紙本作業

2016年城隍爺遭「綁架」

2016年鎖定廣告伺服器,台灣遭攻擊排行第一

2016年 CERBER 第一隻台灣網友傳出因追劇而中的勒索病毒

2016-2017年台灣受勒索病毒攻擊超過2千萬次幾近台灣總人口數！

勒索病毒家族數量在 2016 年大幅攀升

2017年 WannaCry 想哭與 Petya前後襲捲全球

2018年國際大藥廠研發總部遭勒索病毒入侵,導致藥廠重新製作疫苗

2005 年中期出現勒索病毒 Ransomware案例，加密手法的版本在 2006 年才開始出現

儘管早在 2005 年中期，媒體就報導過一些勒索病毒 Ransomware的案例，但是較為精密且會採取某種加密手法的版本要在一年之後，也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A，它會搜尋受害者硬碟上某些副檔名的檔案，然後將這些檔案壓縮成含有密碼保護的壓縮檔，並將原始檔刪除。使用者若沒有任何其他備份，就只好想辦法看看能不能解開這份壓縮檔案。此外，TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息，告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。
當然，由於這是勒索病毒 Ransomware首次嘗試向不知情的使用者詐取錢財，其詐騙手法還不是非常周延。因為，歹徒的密碼其實就儲存在惡意程式其中一個元件當中，也就是它的 .DLL檔案，而且大剌剌地並未加密。
從那時候起，勒索病毒傳遍了全球，發展出許多不同的版本。某些類型的勒索病毒會偽稱為當地的警察機構：贖金以「罰款」的形式出現，讓使用者不得不馬上支付。有些較複雜的警察勒索軟體會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息

2012 年：REVETON 勒索病毒假冒警察，抓盜版軟體，讓使用者即使不情願也會乖乖付款

繼續閱讀

新型殭屍勒索病毒 Virobot ,透過 Outlook濫發夾毒垃圾信

2018 年 09 月 28 日2018 年 09 月 27 日趨勢科技 TrendMicro

趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰，並且維持這樣的水平，但是隨著時間的變遷，攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動，驗證了這樣的預測，藉由更多開創性的手法提高了賭金。實際的案例如下：我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH)，他同時具備了殭屍網路（botnet）與勒索病毒的能力，許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦，受感染的電腦會成為垃圾郵件殭屍網路的一員，並發送勒索病毒給更多受害者。由目前的資訊看來，Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。

感染鍊

Viro 殭屍網路病毒於2017年9月17日首次曝光，就在我們分析了一個模仿Locky勒索病毒的變種勒索病毒7天後。當 Viro 殭屍網路病毒下載到電腦上並且執行之後，它會檢查機碼值是否存在(電腦GUID以及產品金鑰)，依此判斷這個系統是否應被加密。

圖1. Viro 殭屍網路病毒查詢機碼以檢查特定的機碼值是否存在。

繼續閱讀

勒索病毒Princess Evolution 找合夥人,以抽六成贖金為號召

2018 年 08 月 14 日2018 年 08 月 17 日趨勢科技 TrendMicro

趨勢科技從7月25日起就持續地觀察到惡意廣告利用Rig漏洞攻擊套件來散播挖礦( coinmining )病毒及GandCrab勒索病毒Ransomware (勒索軟體/綁架病毒)

。而在8月1日，我們注意到Rig網路流量出現了當時未知的勒索病毒。深入研究這看似新的勒索病毒並檢查它在Tor網路內的勒贖通知網頁，看到它被稱為Princess Evolution（趨勢科技偵測為RANSOM_PRINCESSLOCKER.B），這是2016年出現的Princess Locker勒索病毒的新變種。根據最近在地下論壇的廣告，它的作者似乎要將Princess Evolution以「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS)的方式經營，並且在找合作夥伴。

「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS)
多年以來，「網路犯罪服務」(Cybercrime as a Service，簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰)，只要向一些老手購買 CaaS 工具和服務，就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚（Phishing）或其他惡意攻擊行動，一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗，就連只會寫寫腳本的初階駭客也能上手，但卻可以帶來高報酬。

而「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 造成新的勒索病毒 Ra家族的數量大增，也讓原本大多針對個人使用者的攻擊，開始對企業造成嚴重威脅。繼續閱讀