勒索軟體 Ransomware - 資安趨勢部落格

好黑心! 新勒索病毒 BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為

2018 年 05 月 03 日2018 年 05 月 03 日趨勢科技 TrendMicro

趨勢科技最近發現了一隻新的勒索病毒（偵測為RANSOM_BLACKHEART.THDBCAH），它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。

但在本案例中，RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起，而非是利用AnyDesk來進行散播。

使用者有可能在瀏覽惡意網站時不自覺地下載了 RANSOM_BLACKHEART 勒索病毒

雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知，但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。

一旦下載完成，RANSOM_BLACKHEART會產生並執行兩個檔案：

%User Temp%\ANYDESK.exe
%User Temp%\BLACKROUTER.exe

圖1、RANSOM_BLACKHEART產生的檔案

如前所述，第一個檔案包含了 AnyDesk，這是個功能強大的應用程式，可以在不同桌面作業系統（包括Windows、MacOS、Linux和FreeBSD）間進行雙向遠端控制，並且可以在Android和iOS上進行單向存取。此外，它還可以傳輸檔案，提供聊天客戶端及記錄連線內容。要注意的是，攻擊者所用的是舊版AnyDesk而非目前的版本。

圖2、我們所分析樣本所帶的 AnyDesk使用者介面

繼續閱讀

勒索病毒居然已經十幾歲了!資安專家:有三個理由,今年還會”狗狗纏”

2018 年 02 月 21 日2018 年 02 月 22 日趨勢科技 TrendMicro

勒索病毒已經出現十多年了，因為病毒的攻擊手法越來越精細，幾乎所有的國家都出現受害者，成為了全球性的威脅。根據CSO的報導，勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點，但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。

三個勒索病毒在未來數年仍將持續肆虐的理由

不幸的是，網路犯罪份子持續在勒索病毒方面取得成功，幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地，勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由：

1）勒索病毒持續進化中

大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明，加密型勒索病毒（或說是鎖住資料）會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看，勒索病毒可能看似簡單：從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒，並且有許多種感染受害者的手法。

另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統，這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。繼續閱讀

散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

2018 年 01 月 08 日2018 年 01 月 05 日趨勢科技 TrendMicro

近年來最惡名昭彰的兩個惡意程式：CTB Locker 和 Cerber 勒索病毒，其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局，簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作，逮捕了五名涉嫌散布 CTB-Locker 與 Cerber 勒索病毒的嫌犯。

Critroni (亦稱 Curve-Tor-Bitcoin，簡稱 CTB) Locker 最早可追溯至 2014 年，是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber，則是一個極難纏又不斷演進的勒索病毒，近年來更增加了不少強大功能。

這項名為「Bakovia」的逮捕行動，總共搜查了六處羅馬尼亞民宅，調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置，以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員，該集團已因多起犯罪而遭到起訴，包括：非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查，後來調查人員發現兩者其實為同一集團所為，因此才開始併案調查。

網路攻擊已經不再是「專業駭客」的專利

根據進一步資料顯示，嫌犯在攻擊當中使用的惡意程式並非自行開發，而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service，簡稱 RaaS)，也算是一種合作方案，是黑暗網路當中常見的合作模式。繼續閱讀

勒索病毒成為一般商品!只要 50 美元，就能取得 WannaCry 勒索病毒的終生授權

2017 年 10 月 12 日2017 年 10 月 12 日趨勢科技 TrendMicro

任何人，據稱只要 50 美元，就能取得WannaCry(想哭)勒索病毒的終生授權，而且可以無限升級。今年 5 月 14 日，我們在阿拉伯文地下網站上看到這則廣告，就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅，搖身一變成了一般性商品，只要有心，任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外，WannaCry 的價格也相對低廉，這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的，中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送，例如：遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且，這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。

圖 1：WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上，我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是，同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。繼續閱讀

勒索病毒大小通吃不留餘地! 別再說我公司很小它看不上眼

2017 年 10 月 03 日2017 年 09 月 14 日趨勢科技 TrendMicro

對於大小通吃的勒索病毒 Ransomware (勒索軟體/綁架病毒)來說，任何企業都不會太大、也不會太小。2016 年，勒索病毒在全球所造成的損失總計超過 10 億美元。勒索病毒災情有多慘重，看看前一陣子才大爆發的WannaCry(想哭)勒索蠕蟲和 Petya 就知道：數以千計的企業因而停擺。受害的醫療機構不是停止門診、就是關閉急診室。而汽車製造商也停止生產，此外電力輸送也因而中斷。

其實，勒索病毒一直在不斷演進，因此 IT 系統管理員和資安人員必須隨時嚴加戒備，部署一套縱深防禦策略來守護珍貴的企業資產，一般使用者也需主動養成良好習慣以保護自己。

以下將介紹八個企業防範勒索病毒的最佳實務原則與良好習慣。

1. 「3-2-1 備份原則」：定期備份您的檔案

勒索病毒利用的是受害者害怕電腦被鎖住或個人重要資料救不回來，或者企業營運關鍵資料無法存取而導致企業停擺的恐懼心理。因此，只要妥善備份好您的資料，勒索病毒就不構成威脅。請謹守「3-2-1 備份原則」：三份備份、二種不同儲存媒體、一份放在異地保存。當您在備份資料時，務必確認備份資料完整無誤。因為，萬一備份資料有問題，當您真正需時將派不上用場。因此請定期測試您的備份作業是否正常運作，備份資料是否能夠正常讀取。盡可能簡化您的備份程序並且留下書面記錄，這樣當有需要時您的人員才能輕鬆找到。