勒索軟體 Ransomware - 資安趨勢部落格

< 病毒警訊通知 > 新勒贖軟體 TROJ_CRILOCK.PRL

2015 年 05 月 11 日2015 年 05 月 15 日趨勢科技 TrendMicro

趨勢科技於近期發現一起新的勒索軟體 Ransomware爆發事件。一旦執行此惡意程式，電腦上的檔案就會被加密鎖定而無法開啟使用。與之前的勒索軟體 Ransomware相同，此惡意程式會將自己偽裝成Email附加檔案，也有可能直接從網路上下載來；除此之外，感染勒索軟體 Ransomware的電腦，會尋找網路芳鄰的共享資料夾或是網路磁碟機，若具有寫入權限的話，也會將這些共享資料夾或是網路磁碟機上的檔案進行加密。部分用戶反映因使用者電腦上C磁碟機沒有設定存取限制，因此整個C磁碟機遭到感染勒索軟體 Ransomware的電腦加密。趨勢科技在此提醒您，切勿輕易執行來源不明的檔案。

簡體中文勒索訊息:告知檔案即將被加密 (有受害者整個硬碟被加密)

此次勒索軟體 Ransomware與以往不同的地方在於，此勒索軟體 Ransomware執行後，會出現簡體中文的說明頁面，告知受害者的檔案即將被加密；後來發現，更有受害者的整個硬碟被加密。

而此勒索軟體 Ransomware下載後會複製一份放置於C:\Users\All Users\，只要登入至該主機的使用者皆有可能感染。同時，它也會新增以下資訊至登錄檔
\HKEY_USERS\S-1-5-21-706670597-753717926-1206375605-54909\Software\Microsoft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
\HKEY_CURRENT_USERS\Software\Microsft\Windows\CurrentVersion\Run\勒贖軟體檔名.exe
表示系統開機執行時會自動執行，且不論那一個user登入該主機皆會自動執行。

趨勢科技產品已可偵測攔截此勒索軟體 Ransomware TROJ_CRILOCK.PRL

截至目前為止，趨勢科技產品已可偵測攔截此勒索軟體 Ransomware（病毒名稱為：TROJ_CRILOCK.PRL），也將已知可能下載此勒贖軟體的惡意網站封鎖，例：

請您隨時保持您的趨勢科技產品病毒碼在最新版本，以維持最完善的防護。

繼續閱讀

加密勒索軟體 CRYPVAULT會加密和「隔離」檔案

2015 年 05 月 01 日2015 年 05 月 04 日趨勢科技 TrendMicro

趨勢科技發現一個新加密勒索軟體 Ransomware有著新的行為，包括讓加密過的檔案看起來像是被隔離的檔案。這些檔案被加上* .VAULT副檔名，而防毒軟體服務會將檔案隔離上一段時間。防毒軟體通常會將可能對受感染系統造成進一步傷害的檔案加以隔離。

繼續閱讀

偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊

2015 年 04 月 08 日2015 年 06 月 08 日趨勢科技 TrendMicro

加密勒索軟體 Ransomware又再一次進化。最近我們發現了一個首次結合間諜程式的加密勒索軟體 Ransomware變種。而且，不久前趨勢科技才發現有內含檔案感染能力的勒索程式。

CryptoWall 3.0

我們首次發現 CryptoWall 是在去年，當時它是挾帶在垃圾郵件訊息當中。趨勢科技當時發現，其他的加密勒贖程式都提供了一個圖形使用者畫面來勒索贖金，但 CryptoWall 卻是透過其他管道，包括透過一個 Tor 洋蔥路由器網站直接要求贖金，或是用記事本程式開啟一個勒索通知文件，詳細說明如何利用 Tor 瀏覽器連上支付贖金的網頁。

不過，自從 CryptoWall 首次被發現以來，該程式已發生很多變化。早期的 CryptoWall 版本會偽裝為 CryptoLocker 變種，甚至模仿其勒贖畫面。但後來，CryptoWall 慢慢開始有自己的名稱以及勒贖畫面。

此外，其幕後操縱伺服器通訊也開始改用 Tor 洋蔥路由器網路。最新的版本，也就是一般稱呼的 CryptoWall 3.0，則開始將網址寫死在程式內。不諱言地，使用 Tor 確實能夠提供匿名的優勢，但缺點是，企業系統管理員可以輕易封鎖 Tor 的網路流量，可以的話甚至直接封鎖 Tor 應用程式。繼續閱讀

勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件

2015 年 02 月 26 日2018 年 05 月 25 日趨勢科技 TrendMicro

最近請當心下面三個山寨版電子郵件來信：

noreply@goog.le.com

noreply@mail.fb.com

service@paypal.co.uk

這些電子郵件地址乍看之下或許正常，但仔細一瞧，就會發現 Google 的電子郵件地址拼錯了。此外，雖然 fb.com 這個網域確實屬於 Facebook，但卻是該公司的企業內部電子郵件網域。簡單來說就是，Facebook 絕不會使用該網域來和 Facebook 使用者通訊。至於 PayPal，該公司所使用的網域是 paypal.com，而非 paypal.co.uk。

最近趨勢科技發表了一篇有關 CTB-Locker 勒索程式近期演進的文章:勒索軟體提供變更勒贖訊息語系的選項,中國出現激增災情。簡而言之，惡意程式現在提供了一項「免費解密」服務來延長其檔案解密的最後期限，以及一個切換勒索指示語言的選項。

日前網路上又出現了另一波 CTB-Locker 勒索軟體 Ransomware攻擊。這一波加密勒贖程式攻擊最值得注意的一點是，他們利用了 Facebook 和 Google Chrome 這類「知名大廠」為社交工程（social engineering ）誘餌。

新的誘餌

我們發現這些 CTB-Locker 勒索軟體 Ransomware會假冒來自 Google Chrome 和 Facebook 的電子郵件。

假冒來自 Google Chrome 的電子郵件會偽裝成一封 Chrome 瀏覽器更新電子郵件通知。當使用者點選其中的連結之後，就會被帶往一個散布惡意程式的網站。其惡意程式會利用 Google Chrome 的圖示來偽裝成正常的安裝套件，但它其實是 TROJ_CRYPCTB.YUX 惡意程式變種。

圖 1：假冒的 Google Chrome 電子郵件。

除此之外，歹徒也會假冒來自 Facebook 的郵件，此郵件會偽裝成一封帳號停用通知，並且指示使用者點選郵件當中的連結，如此會下載一個惡意程式。

圖 2：假冒的 Facebook 電子郵件。

下載的惡意程式使用了 .PDF 的圖示來偽裝成該類型的檔案，但它其實是 TROJ_CRYPCTB.NSA 惡意程式變種。繼續閱讀

最近的加密勒索軟體攻擊：一種全球性的威脅

2015 年 02 月 02 日2015 年 10 月 02 日趨勢科技 TrendMicro

趨勢科技注意到最近有大量的加密勒索軟體在澳洲擴散。這一波與我們在12月初報導過在歐洲/中東/非洲（EMEA）地區所出現的大量感染很類似。根據進一步的研究和分析，我們的結論是這些攻擊的幕後黑手很可能是同一個集團，因為所用的IP地址很相似。

感染途徑

趨勢科技的分析顯示，用來識別澳洲TorrentLocker惡意軟體家族的特徵碼也可以識別土耳其、義大利和法國的病毒暴發。

我們觀察到TorrentLocker惡意軟體會對澳洲和EMEA地區國家特別設定，對這些國家展示相似的付款頁面。如果使用者不是位在被針對的國家，就會出現通用的英文網頁，並且用美元要求贖金。下面是一連串TorrentLocker惡意軟體所顯示的畫面，而且會不正確地告訴受害者它是「CryptoLocker病毒」。