追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載

2016 年 04 月 22 日2020 年 12 月 22 日趨勢科技 TrendMicro

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索軟體,有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索軟體 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。

現在讓我們一起認識「Drive by download」路過式下載。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密)！◢即刻免費下載試用

**《小廣和小明的資安大小事》「Drive by download」路過式下載與惡意網路廣告**

「Drive by download」路過式下載（或稱為隱藏式下載、偷渡式下載、強迫下載，網頁掛馬）

您曾經聽過有關防毒軟體術語裡的「Drive by download」路過式下載（或稱為隱藏式下載、偷渡式下載、強迫下載）,這是一個在未經用戶同意(或用戶未知的情況下)自動下載到用戶電腦上的惡意程式, 另外,由於遭到植入惡意連結的網頁，多數會導向下載木馬程式，故俗稱網頁掛馬。

「Drive by download」路過式下載是利用系統、應用程式和瀏覽器的漏洞植入惡意程式的一種攻擊手段。網友即使只是瀏覽網站,也會在不知不覺中被迫下載惡意程式。

這種攻擊手段最可怕的地方在於，如果你對作業系統、應用程式和瀏覽器的資安漏洞持續忽略不理會的話，一旦您登入平常所使用的網站時，即使只是單純瀏覽網站也會被植入病毒碼。偶爾因為不慎誤入刊登惡意廣告的網站，甚至會被植入最近惡名昭彰的勒索軟體 Ransomware。

繼續閱讀

Reveton勒索軟體的下一代，CryptXXX出現

2016 年 04 月 21 日2016 年 05 月 09 日趨勢科技 TrendMicro

最近有一波新的勒索病毒 Ransomware (勒索軟體/綁架病毒),自三月底開始爆發。Proofpoint的研究人員加上安全分析師Frank Ruiz所提供的情報，發現了一個被稱為「CryptXXX」的新勒索軟體，根據其描述，它與早期的勒索軟體Reveton有明顯的關聯。

這個勒索病毒 Ransomware是由BEDEP惡意軟體所散播，透過Angler漏洞攻擊套件來感染系統。研究人員在文章內描述「Angler漏洞攻擊套件結合BEDEP來散播勒索軟體和Dridex 222」。這代表放有Angler漏洞攻擊套件的網頁被用來散播CryptXXX。此攻擊套件接著利用系統漏洞來植入BEDEP。因為其「惡意軟體下載」能力，CryptXXX會以第二段感染的方式出現，它是會延遲執行的DLL程式，至少要等待62分鐘才會作用。一旦勒索病毒 Ransomware開始執行，它會加密檔案並加上.crypt副檔名。

[延伸閱讀：勒索病毒白皮書]

跟其他勒索軟題類似（特別是Locky勒索軟體、TeslaCrypt和Cryptowall），這個變種會產生三種類型的檔案（de_crypt_readme.bmp、de_crypt_readme.txt、de_crypt_readme.html）來通知受駭系統的使用者，要求贖金以取回檔案。據研究人員所說，勒索病毒 Ransomware要求很高的贖金，每個系統500美元，跟過去常見的勒索金額相差甚遠。此外，CryptXXX具備防虛擬機器和防分析能力以躲避偵測，它會檢查註冊表內的CPU名稱和安裝攔截程序（hook procedure）來監視滑鼠活動。

CryptXXX還被發現會竊取比特幣（Bitcoin），同時還能在目標系統上掠取身分憑證和個人資料。趨勢科技的研究人員發現，它能夠從FTP、即時通和郵件應用程式中竊取資料。根據部落格文章，「這點是能夠預期的，因為BEDEP長久以來都會帶來資料竊取程式。具體地說，它在2014年11月至2015年12月中會帶來Pony。接著用一個無紀錄的「私有竊取程式」來取代Pony，一直持續到2016年3月中。我們相信勒索軟體內的資料竊取功能和BEDEP所散布的「私有竊取程式」內的一樣」。繼續閱讀

勒索病毒竟知道你家地址?

2016 年 04 月 14 日2016 年 07 月 28 日趨勢科技 TrendMicro

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)近日大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊，要求他們點郵件中的連結列印發票，而這個連結會讓電腦感染勒索軟體 Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

郵件內容包含郵寄地址, 推測這些資料很可能來自一些外洩事件中失竊的資料庫

值得注意的一點是，網路釣魚（Phishing）郵件內容當中不僅寫出了收件人的姓名，還附上了受害人的地址。包含 BBC 的工作人員在內，都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

【延伸閱讀” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團】

出現警告訊息時，硬碟上有價值的檔案都已加密，過程不到幾秒宛若電腦版的搶劫

在 BBC 這篇報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料，因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示：「它的動作非常迅速，當畫面上出現警告訊息時，硬碟上有價值的檔案都已被加密，整個過程不到幾秒,就像是電腦版的搶劫，歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索軟體 Ransomware一樣,Maktub要求以比特幣（Bitcoin）支付贖金，而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣（Bitcoin）(約合 580 美元)提高到 1.9比特幣（Bitcoin）(約合 790 美元)。

趨勢科技表示,除了網路釣魚（Phishing）,當使用者不小心連上惡意網站時也可能被暗中下載到系統上。這個勒索軟體 Ransomware會開啟它植入的文件檔：

繼續閱讀

不給錢就鎖檔! 防止檔案成勒索軟體肉票,防範未然是王道(資安漫畫)

2016 年 04 月 11 日2016 年 04 月 13 日趨勢科技 TrendMicro

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

別讓勒索軟體 A 你的錢,看到勒索訊息為時已晚,即刻防範未然 →即刻免費下載

延伸閱讀:

打開 Word 檔也會中勒索軟體!!新加密勒索軟體Locky,偽裝發票,誘騙下載

從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集

繼續閱讀

零時差漏洞攻擊：Magnitude 漏洞攻擊套件收錄舊版 Adobe Flash Player 零時差漏洞 CVE-2016-1019

2016 年 04 月 08 日2016 年 04 月 20 日趨勢科技 TrendMicro

繼 2016 年 4 月 5 日發出安全公告之後，Adobe 隨即釋出了一份緊急更新來修補一個 Adobe Flash Player 漏洞：CVE-2016-1019。趨勢科技已觀察到一些專門利用 Magnitude 漏洞攻擊套件的零時差攻擊，受影響的使用者包括 Flash 20.0.0.306 版以及更早版本的使用者。不過，這一波攻擊並不影響 Flash 21.0.0.182 及 21.0.0.197 版的使用者，因為 Adobe 已在 21.0.0.182 版當中導入了 Heap 記憶體保護機制，而 21.0.0.197 版理所當然承襲了這項功能。這兩個版本的使用者在遇到這項漏洞攻擊時只會發生 Adobe Flash 當掉的情況。

我們強烈建議所有使用者立即安裝最新的安全更新，因為目前這一波漏洞攻擊正在網路上流行。趨勢科技在安全更新釋出之前，即發現上述漏洞攻擊套件收錄了這項漏洞，並且會讓電腦感染勒索軟體。

根據我們的分析，CVE-2016-1019 是一種所謂的「類型混淆漏洞」，該漏洞會影響 Flash 20.0.0.306 以及更早的版本。不過在遇到 Flash 21.0.0.182 及 21.0.0.197 版本時，僅會造成 Flash 當掉。Adobe 從 21.0.0.182 版本開始便加入了 Heap 記憶體保護措施。

圖 1：散布 Magnitude 漏洞攻擊套件的惡意網域。

Magnitude 漏洞攻擊套件,全球流量分布,台灣排名第ㄧ

早在 2016 年 3 月 31 日，趨勢科技即經由我們 Smart Protection Network™ 的回報發現一項使用 Magnitude 漏洞攻擊套件的零時差攻擊已經收錄了這項漏洞。這項攻擊會讓系統感染 Locky勒索軟體，這是一種將惡意程式碼暗藏在文件巨集當中的加密勒索軟體。根據報導，此惡意程式曾攻擊美國肯德基州一家基督教衛理公會醫院 (Methodist Hospital) 的電腦系統。