勒索病毒 - 資安趨勢部落格

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏”

2018 年 02 月 21 日2018 年 02 月 22 日趨勢科技 TrendMicro

勒索病毒已經出現十多年了，因為病毒的攻擊手法越來越精細，幾乎所有的國家都出現受害者，成為了全球性的威脅。根據CSO的報導，勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點，但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。

三個勒索病毒在未來數年仍將持續肆虐的理由

不幸的是，網路犯罪份子持續在勒索病毒方面取得成功，幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地，勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由：

1）勒索病毒持續進化中

大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明，加密型勒索病毒（或說是鎖住資料）會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看，勒索病毒可能看似簡單：從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒，並且有許多種感染受害者的手法。

另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統，這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。繼續閱讀

勒索病毒也可網購! ShurL0ckr在暗網上販售，據報可以繞過雲端應用程式

2018 年 02 月 15 日2018 年 02 月 23 日趨勢科技 TrendMicro

安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣，ShurL0ckr操作者將這勒索病毒經營成外包服務，讓其他網路犯罪分子也可以分一杯羹，從受害者贖金中抽取佣金。

《延伸閱讀》散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

根據研究人員對ShurL0ckr的分析顯示，它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣，網路釣魚（Phishing）和路過式下載「Drive by download」是最可能的感染媒介。

ShurL0ckr的出現也顯示出另一個更大的問題：網路犯罪分子對合法平台和服務的濫用。研究人員指出，使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上，他們發現至少有三家企業級軟體即服務（SaaS）應用程式感染了惡意軟體。研究人員還發現，惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。

勒索病毒不會很快就消失。事實上，隨著企業越來越採用新興技術來開拓業務，勒索病毒和數位敲詐可以預見會是網路犯罪的主流。繼續閱讀

新勒索病毒接受以太坊（ETH）作為贖金

2018 年 01 月 11 日2018 年 01 月 22 日趨勢科技 TrendMicro

隨著以太坊（ETH）的價格持續上漲，網路犯罪分子也很快地看上這新的賺錢機會。有一隻新的HC7 Planetary勒索病毒似乎是第一個接受以太坊作為贖金的勒索病毒 Ransomware (勒索軟體/綁架病毒)。

HC7 Planetary會透過遠端桌面侵入網路來進行散播。一旦惡意份子駭入網路就會手動將勒索病毒安裝在所有可存取的電腦上。

這勒索病毒目前還在散播中，會加密檔案並加上.PLANETARY的副檔名。從底下的勒贖通知可以看出病毒作者要求每台電腦700美元的贖金，或用5,000美元包含整個網路的電腦。

圖1、HC7 Planetary勒索病毒勒贖通知（透過bleepingcomputer.com）

值得注意的是，這勒索病毒將以太坊和比特幣及門羅幣並列為可接受的付款數位貨幣。以太坊目前是比特幣之外第二大有價值的數位貨幣，每一枚超過1,200美元，預計到2018年將會成長3倍。繼續閱讀

散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

2018 年 01 月 08 日2018 年 01 月 05 日趨勢科技 TrendMicro

近年來最惡名昭彰的兩個惡意程式：CTB Locker 和 Cerber 勒索病毒，其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局，簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作，逮捕了五名涉嫌散布 CTB-Locker 與 Cerber 勒索病毒的嫌犯。

Critroni (亦稱 Curve-Tor-Bitcoin，簡稱 CTB) Locker 最早可追溯至 2014 年，是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber，則是一個極難纏又不斷演進的勒索病毒，近年來更增加了不少強大功能。

這項名為「Bakovia」的逮捕行動，總共搜查了六處羅馬尼亞民宅，調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置，以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員，該集團已因多起犯罪而遭到起訴，包括：非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查，後來調查人員發現兩者其實為同一集團所為，因此才開始併案調查。

網路攻擊已經不再是「專業駭客」的專利

根據進一步資料顯示，嫌犯在攻擊當中使用的惡意程式並非自行開發，而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service，簡稱 RaaS)，也算是一種合作方案，是黑暗網路當中常見的合作模式。繼續閱讀

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。