勒索軟體 Ransomware - 資安趨勢部落格

巨集威脅和勒索軟體的里程碑：檢視電子郵件威脅環境

2015 年 09 月 15 日2015 年 09 月 09 日趨勢科技 TrendMicro

對網路犯罪來說,電子郵件是門大生意。

在2014年，每天有1963億封電子郵件在收發。在這之中，有1087億封是商業郵件。每天電子郵件大發送的數量，吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導，Home Depot外洩事件造成該公司6200萬美元的損失，而Target資料外洩事件造成2億2900萬的損失。

但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察，電子郵件威脅在找尋受害對象時是一視同仁的。

今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。

舊玩意新花樣

在今年的前幾個月，趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE（紅色）仍然是首要的垃圾郵件類型，我們可以看到巨集垃圾郵件（綠色）在許多月份都有所增加。

我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。

繼續閱讀

假免費 Windows 10 更新通知信暗藏勒索軟體

2015 年 08 月 11 日2015 年 09 月 02 日趨勢科技 TrendMicro

隨著眾所矚目的 Windows 10 (WIN10)正式上市，這股熱潮已經引來網路犯罪集團的覬覦。最近，趨勢科技的工程師已經發現多起相關垃圾郵件(SPAM)攻擊，其中一個就是假冒Microsoft新版作業系統免費更新的通知郵件。如同其他社交工程（social engineering ）郵件一樣，該郵件暗藏了危險的附件檔案，一個勒索軟體 Ransomware的壓縮檔，更確切一點就是CTB-Locker加密勒索軟體，也就是TROJ_CRYPCTB.RUI 變種。

繼續閱讀

加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

2015 年 07 月 13 日2015 年 07 月 13 日趨勢科技 TrendMicro

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加，特別是英國和土耳其。從5月上旬到6月10日，TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期（6月10日至6月28日），我們看到這種威脅再次出現。

在2014年底， TorrentLocker勒索軟體 Ransomware在義大利傳出疫情。澳洲也曾是這些攻擊的主要目標（雖然其他國家也有受到影響），但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業（如英國天然氣）和政府機構（如內政部或司法部）。

這會導致連到這些單位的假網站，要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上；這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下：

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱，還有電信公司（已知的例子包括SDA Express、Pozcta、Correo和Turkcell）。對澳洲使用者的攻擊已經變平靜，使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務（如澳洲的Couriers Please和Pack & Send）也遭到利用。

這些檔案所放置的地方也有所改變：之前它們放在檔案儲存網站，像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall（另一個加密勒索軟體家族）現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱（和使用的社交工程（social engineering ）誘餌）列在下表中:

繼續閱讀

勒索軟體：恐嚇取財手法十年進化史

2015 年 06 月 23 日2018 年 09 月 08 日趨勢科技 TrendMicro

勒索軟體誕生於 2006 年
2012年假冒警察,抓盜版軟體
2013年加密手法日益成熟
2014-2015年鎖定企業,台灣也受駭…

自從我們第一次遭遇勒索軟體 Ransomware至今已過了大約十個年頭，這類軟體會挾持受害者最重要的檔案，然後逼迫受害者支付一筆金額來贖回這些資料 (因而稱為勒索軟體)。為了記錄這個有史以來發展最蓬勃、吸金能力最強大的惡意程式類型邁入十年重大里程碑，讓我們來回顧一下我們所接觸過的重大案例，看看它們這些年來是如何發展與演變。

2006 年：起源

僅管早在 2005 年中期，媒體就報導過一些勒索軟體 Ransomware的案例，但是較為精密且會採取某種加密手法的版本要在一年之後，也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A，它會搜尋受害者硬碟上某些副檔名的檔案，然後將這些檔案壓縮成含有密碼保護的壓縮檔，並將原始檔刪除。使用者若沒有任何其他備份，就只好想辦法看看能不能解開這份壓縮檔案。此外，TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息，告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。

當然，由於這是勒索軟體 Ransomware首次嘗試向不知情的使用者詐取錢財，其詐騙手法還不是非常周延。因為，歹徒的密碼其實就儲存在惡意程式其中一個元件當中，也就是它的 .DLL檔案，而且大剌剌地並未加密。

2011 年：實驗摸索的階段

時間繼續向前快轉五年，我們發現勒索軟體 Ransomware已有重大進展，至少在贖金的付款方式上已經可以接受行動支付機制。2011 年發現的 TROJ_RANSOM.QOWA 專門鎖定俄羅斯的使用者。此變種一改挾持檔案勒贖的作法，直接將使用者的桌上型電腦鎖住，並在螢幕上顯示一個要求支付 360 俄幣 (在當時約為 12 美元) 贖金的畫面。受害者必須撥打一個付費電話號碼並同意支付費用才能取回系統的主控權。

儘管這還不像後來發展出來的檔案加密怪獸，也不像那些要求龐大贖金的變種，但歹徒已經達到目的。雖然贖金只有區區 12 美元，但這項攻擊行動在短短五週之內就獲利至少 30,000 美元，至少有 2,500 人受害。據統計，此惡意程式光在一個月前就從某個色情網站被下載了 137,000 次以上，絕大部分都是俄羅斯使用者。

金額不高，再加上付款方便，使得這項詐騙對受害者來說並不會造成太大麻煩。您會不會支付 12 美元來贖回自己的電腦？這在今日大概只不過是三杯拿鐵的價格而已，遠少於其他勒索軟體 Ransomware所要求的金額，因此受害者也就乾脆付款。

上述數據證明了勒索軟體 Ransomware的獲利潛力，很顯然地，誘騙使用者下載一個能夠鎖住其檔案或電腦以勒索贖金的惡意程式，可收到非常好的效果。這同時也證明了有效散布管道的價值。毫不諱言，這個案例證明了色情就是能夠吸引許多俄羅斯使用者上勾並自願下載惡意程式。

2012 年：青春期血氣方剛的恐嚇技倆

繼續閱讀

16-21歲中國青年做起行動勒索軟體生意,上千變種地下市場流傳

2015 年 06 月 15 日2015 年 06 月 15 日趨勢科技 TrendMicro

一群新生代網路犯罪集團正在中國崛起，他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生，這群青年完全不怕被抓，不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼，然後再製作出屬於自己的惡意程式。正因為這一批人，中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware 。