勒索病毒 - 資安趨勢部落格

為什麼網路詐騙集團,偏好你的個人資料更勝於信用卡?

2017 年 05 月 16 日2017 年 05 月 23 日趨勢科技 TrendMicro

在面對網路犯罪的無止盡戰爭中，有一半以上的關鍵在於提高大眾對威脅本質的認識。如果電腦使用者能夠更加關心自己在網路上所面對的安全和隱私問題，就更有可能採取行動來降低風險。但總會出現更多需要學習的地方，這是面對像網路犯罪這樣快速發展行業時所會遇到的問題。

比方說，你知道駭客更可能看上你的個人資料（如電子郵件地址、身分證號碼）而不是財務資料嗎？所以隨時保護好這些資料安全是相當重要的事情。

地下網路犯罪市場,偏好沒有使用期限的搖錢樹,比如身分證件

趨勢科技研究發現，近三分之二（65%）的電腦感染了惡意軟體。許多人認為這些惡意軟體是為了要竊取財務資料, 的確有電腦病毒被設計來專偷信用卡和銀行帳號等資料 ,但網路詐騙集團發現竊取來財物資料,可當搖錢樹的有效期限很短。因為一旦受害者發現蛛絲發跡，他們就會打電話給銀行/信用卡組織的詐騙部門，讓駭客/詐騙分子試圖賺錢的行動被阻止。

但另一方面，如果同一個駭客花時間找出並取得可以證明出生日期的證件等個人資料，就可以建立起你全面的「數位身份」。這些在暗網（dark web）上會更有價值，因為這些資料對受害者來說很難變更，沒有辦法可以改變你的出生日期，因此就更有機會可以從身份詐騙中賺錢。

加入了從地下網路犯罪市場所購買的各種個人資料，詐騙分子可以用你的名義申請信用卡和貸款，提交假報稅單據來退稅，甚至是申請醫療保險，就如同趨勢科技所報告的那樣。毫無疑問的，這裡需要一個非常進步和專業的網路犯罪黑市，讓駭客可以竊取你的資料後賣給詐騙分子用來進行身份詐騙。

這也是為什麼我們所採訪過的家庭有三分之一（36%）聲稱自己遭受網路攻擊並造成個人檔案損失。

有四分之一（24%）的人失去珍貴的照片後,才知道勒索病毒是怎麼回事

同樣的，勒索病毒 Ransomware (勒索軟體/綁架病毒)已經變成網路犯罪分子用來從受害者身上快速非法獲利的熱門技術。如果你不幸下載到這惡意軟體，它會搜尋你的個人檔案並進行加密。這代表你永遠無法打開自己的文件和檔案，除非你支付贖金 – 通常是幾百美元。有估計指出勒索病毒去的不法獲利超過10億美元。繼續閱讀

預防勒索病毒,五大絕招! 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵，全球氾濫！趨勢科技教你拒當資安人質！

2017 年 05 月 14 日2017 年 06 月 06 日趨勢科技 TrendMicro

趨勢科技提供企業及個人防禦機制與免費風險評估工具

利用週末期間橫掃全球的勒索蠕蟲「WannaCry/Wcry」，是第一隻結合蠕蟲擴散行為大規模擴散、遂勒索之利的勒索蠕蟲，目前於各地都有傳出嚴重受害案例，為了守護大家的資料安全，讓台灣民眾上班上學日都能順利步入正軌，全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704)在此提供防禦機制與免費風險評估工具！趨勢科技於今年四月中首次監測到勒索病毒（RANSOM_WCRY.C），最初它透過網路釣魚攻擊誘使使用者從Dropbox網址下載惡意程式；而在5月 13 日週末，趨勢科技發現這個肆虐全球的勒索病毒 Ransomware (勒索軟體/綁架病毒)

台灣有網友分享，當他前往停車場取車繳費時螢幕顯示卻「想哭」病毒勒索的畫面，無法繳費，車子也出不去，只好求助停車場業者開啟閘門脫困。

「WannaCry/Wcry」已進化為結合了Windows Server Message Block （SMB) 伺服器漏洞EternalBlue（亦被稱為CVE-2017-0144和 MS17-10）與新勒索病毒家族（RANSOM_WCRY.I / RANSOM_WCRY.A）的新變種。

這波勒索病毒大規模攻擊所用的漏洞 EternalBlue 是Shadow Brokers駭客集團據稱從美國國家安全局（NSA）外洩的漏洞之一，攻擊該漏洞之後可以將檔案送入受害系統，再將此檔案作為服務執行，接著再將真正的勒索病毒檔案送入受害系統，它會用.WNCRY副檔名來對檔案進行加密（也會送入另一個用來顯示勒索通知的檔案）；被針對的副檔名共有176種，包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。

【圖說】「WannaCry/Wcry」勒索病毒感染途徑

趨勢科技提出五大防護措施建議與免費檢測工具

趨勢科技提醒這個漏洞在今年三月份就已經被微軟所修補，呼籲無論是企業還是個人都應盡快更新系統以修補此安全性弱點，所以強烈建議民眾為作業系統安裝最新的修補程式，尤其是跟安全性弱點 EternalBlue 相關的安全性修補程式，此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 SMB，正確配置SMB服務才能免於受到此次攻擊影響，最後建議可以根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點，如趨勢科技企業客戶可使用最新版本的OfficeScan™ 與 WorryFree Business Security ，並請確保已啟用「預測性機器學習」功能（OfficeScan XG 版本、Worry-Free Services）以及所有與勒索病毒相關的防護功能，而一般消費者則可以升級安裝已經可以防禦該勒索病毒攻擊的 PC-cillin 2017 雲端版。

另一方面，除了OfficeScan™ 、WorryFree Business Security及PC-cillin 2017用戶之外，趨勢科技現也提供大眾採用最新機器學習技術的免費風檢評估工具，企業可申請使用「TrendMicro™ Machine Learning Assessment Tool」，並趨勢科技也提供「i3C-您隨身的3C好麻吉」App，協助民眾透過Android手機與平板，經由wifi 連線檢查家中使用windows平台的連網裝置是否有受到勒索病毒侵犯的風險；而面臨勒索病毒還在全球範圍持續擴散的威脅，趨勢科技也建議台灣各個使用者，立即執行以下操作以防止勒索病毒攻擊！繼續閱讀

預防勒索病毒,如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)

2017 年 05 月 14 日2017 年 05 月 17 日趨勢科技 TrendMicro

WannaCry 勒索病毒/勒索蠕蟲在全球範圍持續擴散，為避免週成為受災戶，以下提供企業員工與一般用戶的注意事項，建議您立即執行以下操作避免病毒攻擊！

立即使用隨身碟、外接硬碟或者雲端空間，備份您的重要資料。
關閉Windows系統的445通訊埠，關閉網路共用資料夾（詳細步驟如下文）。
不要點擊來路不明的網站和檔案等。
修補相關漏洞。微軟 EternalBlue 安全性修補程式的安裝可點此。而 Windows XP、Windows 8等系統的使用者，可以點擊這裡下載安裝修補程式
開啟電腦作業系統的Windows Update，隨時升級系統與修補漏洞。

另外請務必注意：如果您的電腦遭攻擊，建議千萬不要乖乖繳納贖金，因為這會助長犯罪,且不保證檔案可以取得回來。

以下為關閉445通訊埠之參考步驟：

1、從控制台中選擇「Windows 防火牆」，並點選左方「進階設定」：繼續閱讀

【重大病毒警訊】WannaCry/Wcry勒索病毒疫發不可收拾,企業預防史上第一勒索蠕蟲的七個方法

2017 年 05 月 14 日2017 年 05 月 15 日趨勢科技 TrendMicro

一波前所未有的勒索病毒12日起陸續席捲了全球各產業的組織。罪魁禍首就是「WannaCry/WCry(想哭) 勒索病毒」（趨勢科技偵測為RANSOM_WANA.A和RANSOM_WCRY.I）。WannaCry/WCry在短期內成為擴散最廣的勒索病毒，影響了全球各地眾多的組織,一些受影響企業不得不將IT基礎設施離線，醫療產業的受害者面臨了運作延誤，被迫將病患轉院直到可以正常運作。

台灣、中東、日本和數個亞太地區（APAC）國家也都顯示出大量的感染。WannaCry 勒索病毒感染影響了各個產業，包括了醫療保健、製造業、能源（石油和天然氣）、科技、食品和飲料、教育、媒體和通訊以及政府。

趨勢科技從 WannaCry在2017年四月出現以來就一直在追蹤它。趨勢科技的採用 XGen安全防護能夠透過行為分析和高保真機器學習等技術來保護使用者對抗此次攻擊或其他威脅。以下是使用者和企業需要對這一波大規模擴散威脅的了解，以及該如何來加以防禦。

發生了什麼事？

首先是歐洲的數家企業回報了自己的重要 Windows系統被鎖住並顯示了勒贖通知。接著全球各地都迅速傳出災情，外電報導有近百國傳出疫情,台灣也被外電列為重災區。

繼續閱讀

【勒索病毒警訊】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

2017 年 05 月 13 日2017 年 05 月 15 日趨勢科技 TrendMicro

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球，包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示，台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務（NHS）遭到攻擊，許多醫院手術被迫取消，西班牙的電信公司、電力公司及公用事業的天然氣公司，都受到影響。葡萄牙的電信公司、聯邦快遞（FedEx）等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後，畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險：CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞，已經在三月份修復，還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起，造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元；此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外，其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

[相關閱讀：使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

近來勒索病毒驚傳變種，透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰！
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒，保護珍貴檔案，防止電腦被綁架，快為您的電腦做好防護！

防範勒索病毒 WannaCry/Wcry,PC-cillin 用戶請免費升級至 PC-cillin 2017:

防範勒索病毒 WannaCry/Wcry,非PC-cillin 用戶即刻免費下載

感染途徑

這波攻擊所用的漏洞（代號EternalBlue）是Shadow Brokers駭客集團據稱從美國國家安全局（NSA）外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統，再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統，它會用.WNCRY副檔名來對檔案進行加密（也會送入另一個用來顯示勒贖通知的檔案）。被針對的副檔名共有166種，包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
繼續閱讀