勒索病毒 - 資安趨勢部落格

” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團….包含勒索病毒!

2017 年 04 月 13 日2017 年 04 月 18 日趨勢科技 TrendMicro

「陳○○女士,您的電信本月應繳費賬單,查詢電子帳單..」、「劉○○先生,你的露天商品已經送達門市..」、「許○○這是你那晚沒來的照片，我被整慘了…」、「謝○○我在墾丁拍的照片，你覺得哪張最好看?」、「林○○這是上次同學聚會的照片，大家都有來」 、「何○○這是上次聚會的照片，你好好 笑」….很多受害人因為收到標記有自己姓名的簡訊,而不疑有他的按下詐騙連結因而損失數千元不等 …繼裝熟簡訊之後,最近災情疫發不可收拾的勒索病毒,也起而效尤類似的社交工程手法。

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

Zepto 是一個隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

這波挾帶勒索病毒的垃圾郵件行動運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

會直呼你名字的勒索病毒釣魚信不稀奇,還有知道你家地址的勒索病毒….

勒索病毒竟知道你家地址? 推測這些資料很可能來自一些外洩事件中失竊的資料庫。

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊，要求他們點郵件中的連結列印發票，而這個連結會讓電腦感染勒索病毒Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

值得注意的一點是，網路釣魚（Phishing）郵件內容當中不僅寫出了收件人的姓名，還附上了受害人的地址。包含 BBC 的工作人員在內，都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資 — 勒索病毒 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資

一但看到勒索警告訊息，硬碟上有價值的檔案都已加密，過程不到幾秒宛若電腦版的搶劫

BBC 報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料，因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示：「它的動作非常迅速，當畫面上出現警告訊息時，硬碟上有價值的檔案都已被加密，整個過程不到幾秒,就像是電腦版的搶劫，歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索病毒 Ransomware一樣,Maktub要求以比特幣（Bitcoin）支付贖金，而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣（Bitcoin）(約合 580 美元)提高到 1.9比特幣（Bitcoin）(約合 790 美元)。

趨勢科技表示,除了網路釣魚（Phishing）,當使用者不小心連上惡意網站時也可能被暗中下載到系統上。

Trend Labs，2016 年 4 月：99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

網路詐騙集團的供應商:專業地下市場的價格

一旦你的資料被竊取，就等於是開放給所有的網路詐騙集團。本部落格曾發表過16 個俄羅斯網路非法服務/地下經濟價目表以及失竊信用卡,竊取帳號價格下滑,因 ”供應量增加 ”:再訪俄羅斯地下世界,在有利可圖的情況下,被竊的個資在地下經濟市場流傳,許多部分都已經高度的專業化。網路犯罪份子不再需要去自己建立所有的攻擊工具，相反地，他可以和買家購買特定產品及服務。包含:

垃圾簡訊: 每一百至一萬則簡訊3到150美元,如果要加上號碼變換,單則價格單價約漲 5 倍
大量轟炸垃圾郵件服務: 一千封郵件3美元
郵件帳號:每一千至十萬筆地址7到500美元(依帳號來源定價不一)
信用卡重製:25 美金
偽造釣魚網站: 5–20美元
網路釣魚用網域:一年每個 50 美金
指定入侵帳號價格:Facebook 100 美金;Gmail 100 美金;Hotmail 100 美金
以非法手段影響搜尋引擎排名服務價格(Black_Hat SEO):6-295 美金

PC-cillin雲端版主動封鎖竊個資釣魚網頁,不讓個資全都露》即刻免費下載

在中國地下市場之旅中,我們也發現中國的地下市場跟其他正當合法的經濟市場一樣：它提供各式各樣的產品和服務，以及不同的價格區段。所提供的服務包括：網路釣魚（Phishing）工具包及竊盜使用者資料…等等。在這些交易底下，有著一個強大和健全的生態系，網路犯罪分子可以用不同的價格購買他們所選擇的產品。

趨勢科技PC-cillin 雲端版主動預警並封鎖詐騙、網路釣魚惡意網頁, 》即刻免費下載

Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !

2017 年 04 月 12 日2017 年 04 月 25 日趨勢科技 TrendMicro

如果上網突然出現亂碼,並彈出更新通知,要當心不要急著按更新或下載鍵。

二月肆虐的勒索病毒家族 SPORA 出現新的變種, SPORA v2 ( RANSOM_SPORA.F117C2)在瀏覽網頁時會出現「找不到字型」的小視窗，背景網頁的字體亦變成亂碼,故佈疑陣讓受害者因驚慌而按下「更新」,掉入勒索病毒陷阱。

最近新的版本增加了蠕蟲能力。SPORA v2 感染系統的方式是靠使用者點選 Google Chrome 瀏覽器的彈出視窗，該視窗請使用者更新 Chrome 字型套件以顯示「HoeflerText」字型。當使用者點選了彈出視窗，就會下載一個偽裝成正常檔案的惡意程式。一旦惡意程式執行，電腦即遭到感染。

繼續閱讀

勒索病毒: 「不給錢,就讓照片從此蒸發…. 」

2017 年 04 月 12 日2017 年 04 月 11 日趨勢科技 TrendMicro

勒索病毒恐嚇綁架電腦用戶,點點滴滴的回憶都變成肉票

「過年帶小孩出遊的照片,都打不開了…. 」

「跟他在一起7 年的照片都沒了,真不甘心花錢消災…. 」

趨勢科技針對台灣勒索病毒最新現況提出警訊：全台平均每8秒就有一個裝置受到攻擊！其中有高達4成是針對一般消費者的電腦裝置進行攻擊。在日漸頻繁的勒索病毒攻擊下，網路大數據顯示消費者最心痛的遭勒索經歷前三名依序為：舊時照片找不到、拯救電腦要花錢以及重要文件打不開，再再都造成消費者難以計算的精神與金錢損失。將檔案當成人質，進而勒索贖金。

繼續閱讀

勒索病毒TorrentLocker 變種,利用雲端服務散布

2017 年 04 月 07 日2017 年 05 月 02 日趨勢科技 TrendMicro

為何 TorrentLocker 勒索病毒最新變種,大多集中在平日出現，周末會暫時消失。上午 9 點至 10 點之間的感染數量會突然飆高?

TorrentLocker 勒索病毒在沉寂了好一陣子之後最近又開始活躍起來，出現了多個新的變種 (趨勢科技命名為 RANSOM_CRYPTLOCK.DLFLVV、RANSOM_CRYPTLOCK.DLFLVW、RANSOM_CRYPTLOCK.DLFLVS 及 RANSOM_CRYPTLOCK.DLFLVU)。這些新的變種會利用 Dropbox 帳號來散布，印證了我們的 2017 年預測：勒索病毒將持續演化出新的攻擊管道。

假冒供應商，寄送含Dropbox 連結的發票下載點

TorrentLocker的最新變種在行為上與趨勢科技之前所偵測到的類似，主要的差異只在於散布方式，以及惡意程式執行檔的包裝方式。

比方說，新的 TorrentLocker 變種在攻擊時，會先假冒受害者的供應商，用電子郵件寄一份發票給受害者。而這份「發票」不是隨信附上，而是透過一個 Dropbox 連結來下載。除此之外，為了增加郵件的真實性，郵件內容還包含了帳單、發票和帳戶編號等資訊。TorrentLocker之所以使用 Dropbox 連結，就是為了躲過郵件閘道防護產品的偵測，因為郵件當中不含附件，而是使用指向正派網站的連結。

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

Cerber 已具備躲避機器學習技術的能力

2017 年 04 月 06 日2017 年 04 月 11 日趨勢科技 TrendMicro

自從現身以來即一直不斷演進的 CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)最近又出現新的變種 (趨勢科技命名為：VBS_CERBER.DLCYG、RANSOM_CERBER.ENC、RANSOM_CERBER.VSAGD 及 TROJ_CERBER.AL)，這次它使用了一個獨立的勒索病毒載入程式來躲避機器學習機制的偵測。

一旦偵測到系統正在虛擬機器或沙盒模擬環境上執行, 即終止執行

CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族已開始採用一種讓自己更難被偵測的新技巧：專為躲避機器學習技術而設計的獨立載入程式。這個載入程式可將 CERBER 的程式碼注入某個執行程序當中執行。

CERBER 變種會經由電子郵件進入使用者系統，郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，一旦執行了該檔案，系統就會遭到感染。此勒索病毒包含多個檔案，最值得注意的是一個勒索病毒載入程式，該程式負責檢查目前系統是否在虛擬機器或沙盒模擬環境上執行。除此之外，還會檢查系統上是否安裝了某些分析工具和防毒軟體。一旦發現上述狀況，就終止執行，否則就將勒索病毒載入系統中。

透過這些額外檢查步驟，並且將病毒直接載入執行程序當中執行，CERBER 就能避開機器學習機制的偵測。此設計對於檔案分析靜態機器學習來說將是一大考驗，因為靜態機器學習只會分析檔案的內容當中是否含有惡意行為，而不管檔案的執行方式如何。不過，若遇到多層式惡意程式防護產品，這類勒索病毒依然只能束手就擒，因為多層式防護並非只仰賴機器學習技術。

假冒公共事業機構名義發送電子郵件，內含 Dropbox 連結

一般來說，勒索病毒大多經由電子郵件散布，這個新的 CERBER 家族亦不例外。它曾假冒多家公共事業機構名義發送電子郵件，這些電子郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，提供該檔案的應該是駭客的 Dropbox 帳號。一旦受害者點選郵件內的連結，就會下載檔案，使系統遭到感染。下圖顯示該程式的感染過程。

圖 1：Cerber 的感染過程。

受害者下載的自我解壓縮檔案解開之後會出現三個檔案：一個是 Visual Basic 腳本、另一個是 DLL 檔案、最後一個是看似設定檔的二進位檔案。在趨勢科技所發現的其中一個樣本當中，這三個檔案的名稱分別為：「38oDr5.vbs」、「8ivq.dll」以及「x」，不過並非每個樣本都一樣。繼續閱讀