勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾,我們也發現到有些勒索病毒並不挑剔:HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源,如透過伺服器訊息區塊(SMB)分享的磁碟、資料夾、檔案、印表機和序列端口,還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。

圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。
圖1、勒索信的照片;HDDCryptor使用寫死的惡意軟體ID(123141),這意味著運作者可能只用單一的解密金鑰。

 

感染媒介和安裝方式

HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件(正常或惡意的都有)植入系統的根目錄:

  • dll(偵測為Ransom_HDDCRYPTOR.A)
  • exe(用來加密磁碟)
  • exe
  • sys
  • txt(惡意軟體活動日誌)
  • EXE(掃描掛載中的網路磁碟和加密儲存在上面的檔案)
  • exe(用來掃描之前存取過的網路資料夾)
  • txt(用來儲存關於掛載網路磁碟的資訊)
  • txt(用來儲存使用者密碼)

它還會加入一個名為DefragmentService的服務並且透過命令行加以執行,好持續存活在系統內。

繼續閱讀

CryLocker勒索病毒利用PNG檔案上傳受害者資料,透過 Google Map定位 API取得相關位置

利用正常網站當作命令與控制伺服器(C&C)通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器,也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。

最新的一個勒索病毒 CryLocker(偵測為RANSOM_MILICRY.A)也是類似地會利用Imgur,這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時,發現 Rig和Sundown都會散播此威脅。

勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿

這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後,勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。

 

圖1、受害者資料被打包成PNG圖檔並上傳到Imgur相簿的截圖。

 

漏洞攻擊套件透過惡意廣告散播

趨勢科技在9月1日發現惡意廣告活動透過 Rig漏洞攻擊套件來散播此勒索病毒。但從9月2日開始就停止派送。仔細檢查上傳到Imgur的 PNG圖檔後,我們注意到有資料是早在8月25日就被加密。

圖2-3、Sundown和Rig漏洞攻擊套件的流量

繼續閱讀

” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

 

檢視資安指南:勒索病毒服務 (Ransomware as a Service)

根據趨勢科技威脅回應工程師 Pacag 指出,幾個星期前,有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 的運作方式,現在,網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

勒索病毒在近幾個月來不斷登上媒體版面,因為這類病毒的效果真的是太強。一般來說,使用者可能經由下列管道感染勒索病毒:瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。

勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一,但卻從受害者身上海撈了 3.25 億美元,而這些很可能都是淨賺的,因為這類網路犯罪攻擊行動的門檻極低。

一般的勒索病毒行動 (左) 和 RaaS (右) 的差異

這對企業的意義為何?一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性,但藉由大量的加密:整個資料夾、整個磁碟、整台伺服器等等,網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金,而且就算只有少數受害者願意付錢,他們的獲利也相當可觀。 繼續閱讀

Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!

< 2016/10/12更新 >最近許多本部落格讀者向趨勢科技求援,表示自己或朋友中了Cerber 勒索病毒,趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒


Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(勒索軟體即服務也就是RaaS)。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

fans-1

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。

▍延伸閱讀 ▍
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

在過去的六個月,就有超過50個勒索病毒新家族出現,而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠,一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

論壇傳出「勒索病毒」大量災情。(圖擷取自PTT)

最新版本的Cerber具備之前版本的功能,像是會念出勒索訊息。跟之前的版本相似,Cerber 3.0會利用Magnitude和Rig漏洞攻擊套件散播。

使用者通常會在點擊播放影片後,被跳出視窗導到漏洞攻擊套件的伺服器,最後會下載 Cerber勒索病毒。這惡意廣告攻擊活動已經影響了好幾個國家,主要集中在台灣。

Magnitude會簡單的利用重新導向腳本。而Rig則會開啟正常網站,比如某服飾網站截圖,也許是為了讓廣告看起來不那麼可疑。

圖1、Rig漏洞攻擊連鎖行為

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

  繼續閱讀

從六隻常見勒索病毒訊息,分辨您感染了何種勒索病毒

自從勒索病毒 Ransomware (勒索軟體/綁架病毒) 首次出現以來,其數量已翻了數倍,而且隨著新的家族和變種不斷出現,再加上原有的家族亦持續更新,這所有的跡象都顯示勒索病毒的問題仍在持續擴大當中。勒索病毒之所以能夠得逞,很重要的一個原因是它能讓受害者心生恐懼,因此很容易乖乖就範,照著勒索訊息的指示支付贖金。

勒索訊息的內容大致包含付款資訊和威脅內容:經由什麼方式付款、該付多少、不付的後果會怎樣等等。但是,受害者顯然想知道更多資訊,可能的話最好知道如何防範勒索病毒,或者,是否有辦法移除勒索病毒,例如使用免費解密工具。不過,首先您必須知道您感染的是什麼勒索病毒,以下我們將介紹x六個最常見的勒索病毒以及勒索訊息來幫助您跨出這第一步。

  1. CERBER:會逐字唸出勒索訊息的內容,語音提醒受害者支付贖金
  2. CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕
  3. 奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除
  4. Locky:迫使醫院緊急將所有電腦關機,改用紙本作業
  5. RAA:不僅會偷密碼,還會偷比特幣錢包
  6. MIRCOP: 做賊喊抓賊的,說自己是受害者的

 

當 RAA 第一次亮相時,最令人矚目的是它使用 JScript 來躲避偵測,並且讓自己更容易透過編碼來隱藏。進入系統之後,RAA (趨勢科技命名為 RANSOM_JSRAA.A) 會搜尋下列副檔名的檔案:.doc、.xls、.rft、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar、.csv 等等,接著將檔案加密,然後在檔名末端加上「.locked」副檔名。除此之外,RAA 還會在系統植入專門竊取資料的 FAREIT (亦稱為 Pony) 惡意程式,它會搜尋系統上儲存的 FTP 用戶端和其他檔案管理軟體、電子郵件用戶端、網站瀏覽器、甚至 比特幣(Bitcoin) 錢包的帳號密碼。蒐集到的資料會傳送至某個幕後操縱 (C&C) 伺服器。其勒索訊息是以俄羅斯文撰寫,內容提供了支付贖金的步驟,贖金最高 0.39 比特幣 (約合 7308 台幣)。

CERBER:會逐字唸出勒索訊息的內容,語音提醒受害者支付贖金

Cerber (趨勢科技命名為 RANSOM_CERBER.A) 最明顯的特徵是具備語音功能,會逐字唸出勒索訊息的內容,以說話方式不斷提醒受害者支付贖金。Cerber 犯罪集團要求的贖金為 1.24 比特幣(根據 2016 年 8 月 23 日的匯率約合 23,238 台幣),付款期限是七天,過了期限之後贖金將加倍。正如其勒索訊息所說,受害者的照片、資料庫以及其他重要文件都已遭到加密,受害者電腦上所有下列副檔名的檔案都會遭到加密:.doc.docx.jpg.pdf.pps.pptm.rar.txt.xls.mov.mp3.config.css.csv.dds.flv.html.key.lit.mov.mp3.mp4.mpg,而且副檔名會改成「.cerber」。

CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕

當 CryptXXX (趨勢科技命名為 RANSOM_WALTRIX.C) 一開始被發現時,它是從早期勒索病毒 Reveton 所衍生而來,經過多次改版和改頭換面之後,現在它已變得相當難以破解。最新的版本不僅會將檔案加密,某些 CryptXXX 變種還會將電腦螢幕鎖住,讓使用者根本無法使用電腦 (但這樣的作法似乎有點適得其反,因為使用者不能使用電腦就看不到勒索訊息)。CryptXXX 已知可加密的檔案類型有 200 多種,包括:.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4 以及 .mpg 等等,加密之後副檔名會變成「.crypt」。有趣的是,病毒的作者在某次更新時突然決定「大發慈悲」,給受害者更長的期限來支付 500 美元的贖金,但期限過後贖金依然會加倍。

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除

繼續閱讀