趨勢科技發現最新的勒索病毒 WCRY(WannaCry)在全球各地的爆發案件,並已密切監控中。初步分析顯示此勒索病毒是攻擊微軟的安全性弱點:MS17-010 – Eternalblue。而此安全性弱點與早先 Shadow Brokers 發布的駭客工具有關。
請參考趨勢科技部落格文章及病毒百科以獲取 WCRY 勒索病毒的變種及元件等相關資訊:
趨勢科技產品與防護措施
首先最重要的是此波攻擊是針對已知的微軟安全性弱點,請客戶透過 GPO 或是微軟官方的說明停用 SMB。此外,我們強烈建議您為作業系統安裝最新的修補程式,尤其是跟安全性弱點 MS17-010 相關的安全性修補程式。趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上,我們已能針對這樣的新威脅事件提供某種程度的防護能力: 繼續閱讀
原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B),這是一個來自巴西駭客的勒索病毒,採用 .NET 撰寫並利用電子商務平台來散布,例如專門銷售數位商品的網站。
其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔,並顯示以下畫面:
此勒索訊息內容大致翻譯如下:
解開被加密的「.locked」檔案。
若您已經取得密碼,請在下方輸入密碼,然後按一下「Unlock Files」(解開檔案)。
若您沒有密碼,請按「Obter Senha」(取得密碼) 按鈕。
當使用者按下「Obter Senha」(取得密碼) 按鈕,就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站,這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元,因此還算容易負擔,而且可以透過 PayPal 支付。接著,病毒會隨機產生一個加密金鑰。
趨勢科技偵測到了一個自稱為「Mole」(鼴鼠) 的 CryptoMix 勒索病毒變種 (趨勢科技命名為 CRYPAURA.MOLE),它會利用 Google Doc 連結來感染受害電腦,台灣目前也傳出受駭案例。此勒索病毒是經由垃圾郵件散布,有一案例是假冒美國郵局的名義,內含一個連結指向假的 Microsoft Office 入口網站,該網站會指示使用者點選某個按鈕來下載所需的外掛元件。但它其實會下載勒索病毒檔案到系統上,其背後的連結是個 Google Docs 網址,該網址每個樣本都不同。每當駭客上傳一個新的樣本時,就會產生一個對應的新網址。
下圖顯示此勒索病毒感染的過程:
當 Mole 開始加密檔案時就會顯示其勒索訊息,但卻不會要求贖金,而是要求使用者寄一封電子郵件到指定的地址來索取解密說明。 繼續閱讀
在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹,但有三隻勒索病毒特別與眾不同,它要的不是贖金。
最近全球各地網路犯罪集團持續利用以教學名義流傳到網路上的 Hidden Tear 開放原始碼勒索病毒來衍生新的變種。本週仍維持先前的發展趨勢,勒索病毒不僅從開放原始碼衍生出新的版本,更不斷朝多樣化與區域性變種發展。此外,有些勒索病毒也一改以往作風,它們居然要的不是錢….
RensenWare 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARRENSEN.A)。這個從 Hidden Tear 衍生的變種會要求受害者去玩《東方星蓮船》(TH12: Undefined Fantastic Object) 這款遊戲,並且必須得分超過2億,才能救回檔案。我們不清楚歹徒背後的動機為何,但駭客似乎對這款遊戲情有獨鍾。
Kindest 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARKINDEST.A),它也是Hidden Tear 的變種。系統一旦感染 Kindest 勒索病毒,受害者就必須前往某個連結來學習更多有關勒索病毒的知識,而不是支付一筆贖金。儘管這聽來有點詭異,但這也並非第一次出現以實際行動來教育使用者的勒索病毒。 繼續閱讀
