勒索軟體 Ransomware – 第 26 頁

目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

2016 年 04 月 08 日2018 年 10 月 23 日趨勢科技 TrendMicro

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後，醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

根據 Cisco 旗下威脅情報中心 Talos 的發現，SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞，而非透過惡意廣告或惡意電子郵件社交工程（social engineering ）技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布，並且利用這些伺服器來入侵更多電腦系統，進而搜尋電腦上的重要資料並加以加密，其主要攻擊目標為醫療產業。

[延伸閱讀：Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動，並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是，Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中，歹徒要求的贖金是每一台電腦1.5個比特幣（Bitcoin），或者是22個比特幣（Bitcoin）的代價清除所有受感染的電腦。

[延伸閱讀：勒索軟體如何運作]

FBI警告，SAMSAM 會「手動搜尋並刪除」備份檔案，逼迫受害企業就範

繼續閱讀

從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

2016 年 04 月 06 日2016 年 04 月 07 日趨勢科技 TrendMicro

巨集惡意軟體使用新手法，利用表單儲存程式碼

巨集惡意軟體會捲土重來並持續流行可能有幾個原因，其中之一是它們繞過傳統防惡意軟體解決方案及沙箱技術的能力。另一個原因是它們會不斷地改善攻擊方式：就在最近，我們看到相關巨集惡意軟體及最新的 Locky勒索軟體會用巨集內的表單物件來混淆惡意程式碼。這種做法可以進一步地讓攻擊者得以隱藏在目標網路或系統內執行的惡意活動。

編按:勒索軟體 Locky 近日在台灣有加速散播的趨勢,它利用使用者對 Microsoft Word 檔比較沒有防備的心態，造成不少台灣民眾檔案被綁架。如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

使用表單（就像應用程式介面的文字方塊），攻擊者會用巨集表內的腳本來產生並執行惡意程式。跟之前的巨集惡意軟體一樣，這也需要使用者手動啟用巨集以觸發執行。但這種新做法需要能夠存取儲存在表單中的shellcode。雖然這種做法被認為比典型技術更困難，但並不一定會影響其安裝。

繼續閱讀

《資安新聞週報》勒索軟體再度迫使病人轉院!!/iPhone被FBI順利解鎖蘋果：告訴我你怎麼辦到的？

2016 年 04 月 01 日2016 年 04 月 06 日趨勢科技 TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

美連鎖醫院MedStar疑遭勒索軟體攻擊，病人被迫轉院 IT Home

未來資安攻擊6大特性與6大對策 iThome

《開後門爭議》iPhone被FBI順利解鎖蘋果：告訴我你怎麼辦到的？雅虎奇摩

科技報報／找出誰解鎖iPhone 是蘋果更大的挑戰今日新聞網

美國政府軍備競賽啟動對手是蘋果公司？天下雜誌網

《科技》趨勢Pwn2Own零時差漏洞競賽起跑中時電子報網

彩券市場：駭客們的冒險樂園 INSIDE

news 繼續閱讀

勒索軟體攻擊從個人電腦轉到網站

2016 年 03 月 30 日2016 年 03 月 30 日趨勢科技 TrendMicro

2月13日，英國心理諮商及心理治療協會（BACP）網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。

這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼，會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是，會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話。

安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites，並且在他的發現中分享：「一旦開發者（攻擊者）可以存取一個網站，他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後，上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是，如果網站不是使用PHP，CTB-Locker for Websites將無法作用。」

從首篇報導的勒索軟體 Ransomware事件中，難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本，發現迄今至少有102個網站被感染。繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

2016 年 03 月 29 日2017 年 06 月 29 日趨勢科技 TrendMicro

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人 — 勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦，骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊，此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件，信件內含一個連向 Dropbox 雲端空間的連結，點選連結後會發現內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

★針對此新型勒索軟體企圖修改主要開機磁區（MBR)的惡意行為，PC-cillin 雲端版已經能主動偵測並加以封鎖，建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得，光是將檔案加密還不足以逼迫使用者，因此，現在他們又開發了一種會讓電腦出現藍色當機畫面，並且在電腦重新開機時顯示勒索訊息的加密勒索軟體，使用者根本無法進入作業系統。想像一下當您打開電腦電源之後，電腦上出現的不是熟悉的 Windows 開機畫面，而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。