勒索病毒 - 資安趨勢部落格

台灣遭勒索病毒攻擊次數，全球排名第18名亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅

2017 年 03 月 08 日2017 年 04 月 25 日趨勢科技 TrendMicro

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元，相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評：企業威脅刷新紀錄的一年」，報告顯示2016 年網路威脅屢創新高，勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)越來越受網路犯罪集團青睞。

其中，勒索病毒造成全球企業損失金額高達 10 億美元（相當於新台幣300億元），且勒索病毒新家族數量較2015年相比成長 7 倍，顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄，網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長，而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數，也突破去年的紀錄，甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話，那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

新的勒索病毒家族數量成長 752%
平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
企業軟體與 SCADA 軟體的漏洞數量名列前茅
Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing）裝置

新的勒索病毒家族數量成長 752%

勒索病毒攻擊比以往更加難纏，新的勒索病毒家族數量在 2016 年成長了 752%，垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

繼續閱讀

專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…

2017 年 03 月 07 日2017 年 03 月 09 日趨勢科技 TrendMicro

今年二月初，趨勢科技曾經提過針對非 Windows 系統的勒索病毒將開始崛起，最近出現的 Patcher (趨勢科技命名為：OSX_CRYPPATCHER.A) 正是一個專挑 MacOS 作業系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)。

[相關文章：專挑類 UNIX 系統的勒索病毒將帶來什麼改變]

Patcher 是經由 bittorrent 檔案下載散布，它會偽裝成 Microsoft Office 和 Adobe Premiere Pro 等熱門軟體的修補程式。一旦下載之後，資料夾顯示的應用程式圖示上有「Patcher」字樣。

當其檔案執行時，螢幕上會出現一個假裝準備進行修補的畫面。然而 Patcher 勒索病毒一旦執行，就會開始使用隨機產生的 25 字元加密金鑰來將檔案加密。它會將「/Users」目錄以及掛載到「/Volumes」目錄下的磁碟和外接裝置當中所有檔案加密。此外，也會在使用者的系統上放置一份勒索訊息，勒索的金額為 0.25 比特幣 (約 300 美元)。繼續閱讀

Unix：會徹底改變勒索病毒遊戲規則嗎？

2017 年 03 月 06 日2017 年 02 月 22 日趨勢科技 TrendMicro

2016年是勒索病毒Ransomware（勒索軟體/綁架病毒）肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體，緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族，這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入，進而多樣化和擴展他們的平台、能力和技術，找到更多的目標。

的確，我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上，然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder（趨勢科技偵測為ELF_CRYPTOR家族）據報是第一個針對Linux系統的勒索病毒；它的目標是Linux網頁代管系統，會攻擊外掛程式或軟體（如Magento）的漏洞。而在Mac OS X系統上則有KeRanger（OSX_KERANGER），出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中，偽裝成RTF格式文件。

它們的共同點？都是Unix：多使用者、帶有命令行的作業系統，具備統一的檔案系統和簡單而強大的工具，如shell和命令列語言，可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好，包括Linux和Mac OS X.

圖1、Linux.Encoder（上方）和KeRanger（下方）加密程式庫的相似性；都使用ARM mbed TLS，它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder（左）和KeRanger（右）的函數名稱相似性，可能表示惡意軟體重寫；函數邏輯重複出現在兩個樣本上

Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統，但它們抵達的載體大多跟使用者無關，這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper（一個強制要求程式碼簽章和驗證下載軟體的安全功能）。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看，可以推測KeRanger是Linux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰，而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger，具備一個未使用的功能能夠加密/刪除OS X的Time Machine（Mac電腦的備份工具）。Linux.Encoder透過開放原始碼勒索病毒專案而誕生，開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅，而它的第三版在全球感染了600台伺服器。繼續閱讀

五大行動裝置勒索病毒家族,成長率屢創新高

2017 年 02 月 17 日2017 年 02 月 13 日趨勢科技 TrendMicro

行動裝置勒索病毒在 2016 年大爆發，光我們 2016 年第四季所蒐集分析的樣本數量就是 2015 年同期的三倍。但儘管數量驚人，這些惡意程式的犯罪模式卻大同小異：濫用、誘騙、恐嚇、勒索。其中絕大部分都是濫用 Android 作業系統功能的螢幕鎖定程式，以及運用社交工程（social engineering ）技巧的偽系統更新、偽熱門遊戲與色情內容。這些程式會誘騙不知情使用者提供系統權限，進而修改裝置鎖定畫面的密碼，讓使用者無法將它解除安裝。

圖 3：行動裝置勒索病毒樣本數量比較 (2015 年與 2016 年)。

根據f趨勢科技的偵測和分析，行動勒索病毒大致可歸納出下列五大家族：

SMSLocker (ANDROIDOS_SMSLOCKER)Svpeng (ANDROIDOS_SVPENG)
SMSLocker（偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER）是現今Android勒索病毒的開端。最初它沒有使用加密技術，只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密，所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制（C&C）通訊；有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備
Svpeng
SMSLocker (SLocker 其中一代) 和 Svpeng 則是專門假冒網路銀行程式的木馬程式，歹徒會經由幕後操縱 (C&C) 指令來將裝置鎖住並勒索贖金。
2016 年最受矚目的Svpeng (銀行木馬程式與勒索病毒的合體)，在我們所發現的銀行木馬感染與攻擊案例當中，約有 67% 都是 Svpeng。
2016 年 9 月是 Svpeng 出現的高峰期，偵測數量高達 80,000 以上。Svpeng 會竊取手機上的簡訊、通訊錄、通話記錄以及瀏覽器歷程記錄，同時還會利用網路釣魚手法騙取使用者的信用卡資料，並且會鎖定裝置畫面，然後勒索贖金。由於 Svpeng 主要以俄羅斯的銀行為目標，因此受害最深的自然是俄文的使用者，尤以俄羅斯、烏克蘭和羅馬尼亞最為嚴重。
FLocker/Frantic Locker (ANDROIDOS_FLOCKER)
FLocker 在 2016 年第一季末首度現身，能跨界感染智慧型電視，並於 2016 年不斷肆虐日本，該地在四月份所偵測到的 FLocker 樣本數量超過 32,000 個以上。
SLocker/Simple Locker (ANDROIDOS_SLOCKER)
2016 年 8 月，某個 SLocker 變種 (AndroidOS_Slocker.AXBDA) 在印尼大量散布，該國在這段期間出現了大量的假音樂視訊播放程式。
Koler (ANDROIDOS_KOLER)
SLocker 和 Koler 已知會假冒司法機關，宣稱受害者觸犯了某種法律，藉此脅迫他們支付一筆贖金。

繼續閱讀

勒索病毒把網友當搖錢樹? 三步驟保護自己!

2017 年 02 月 10 日2017 年 02 月 14 日趨勢科技 TrendMicro

在勒索病毒（Ransomware）把網友當搖錢樹的今日，幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件，專門提供沒有技術能力的新手，根據自己的需求來設定勒索細節。

Locky 先盜用Facebook帳號，再以私訊假冒好友分享偽造的圖片

容易讓網友掉以輕心的駭人手法,包含:先盜用Facebook帳號，再以私訊假冒好友分享偽造的圖片，誘拐被害者下載惡意瀏覽器外掛，再暗中植入惡名昭彰的勒索病毒 Locky。

提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態，造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !