勒索病毒 - 資安趨勢部落格

備份不能算防禦 ! 當勒索集團找上門時，你的企業準備好了嗎？

2017 年 02 月 03 日2017 年 01 月 25 日趨勢科技 TrendMicro

2016 年，趨勢科技與 ISMG 合作，針對金融、醫療與政府機構進行了一項問卷調查，以期更了解他們在勒索病毒方面所面臨的挑戰。調查的結果有些令我們訝異，有些則和我們在 2016 一整年看到的情況大致相符。

大多數網路犯罪集團都會在攻擊當中運用到勒索病毒，而且幾乎所有的漏洞攻擊套件都會散布勒索病毒

我們都知道，勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為今日企業的一大頭痛問題，而 2016 年當中也出現了多起重大案例。根據趨勢科技發現，新勒索病毒家族的數量較去年成長了 748% ( 2015 年僅 29 個，2016 年竄升至 246 個)，顯然這項犯罪手法在網路犯罪集團之間已掀起一股旋風。絕大多數網路犯罪集團現在都會在攻擊當中運用到勒索病毒，而且幾乎所有的漏洞攻擊套件都會散布勒索病毒。可知勒索病毒已成為企業機構的一大威脅，也因此我們才想進一步了解這項威脅對企業機構和政府機關有何影響。讓我們一起來看看這項調查發現了什麼。

超過 53% 的企業機關都曾經成為勒索病毒的受害者;有 15% 的受訪者不曉得自己是否曾經受害

首先，過去一年當中有超過 53% 的企業機關都曾經成為勒索病毒的受害者。此外我們也發現，有 15% 的受訪者不曉得自己是否曾經受害。若依產業來看，我們發現金融業的防護似乎做得較好，因為金融業只有 33% 曾經受害，但政府機關則有 67% 曾經受害。這一點在我們的意料之內，因為金融機構在資安上的支出通常大於政府機關。有 75% 的受訪者表示，勒索病毒攻擊在過去一年似乎稍微或大幅增加，這與我們的研究結果以及我們在客戶端看到的情況一致，讓我們更確定犯罪集團現在比以往更常利用這項威脅。

大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊，而每個月至少遇到 5 次以上攻擊的則高達42%

其次一項特別引起我們注意的是受訪者遭受攻擊的次數。調查顯示，大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊，而每個月至少遇到 5 次以上攻擊的則高達42%。這突顯出一項眾多企業所面臨的重大挑戰：企業必須成功偵測並攔截每一次的攻擊，但歹徒卻只需成功一次就能得逞。另一項企業所面臨的威脅：針對性攻擊，也是同樣情況。我們現在越來越常看到歹徒在日常攻擊行動當中採用類似的手法。繼續閱讀

勒索病毒成犯罪新手金雞母,竟是有現成工具!

2017 年 01 月 24 日2020 年 09 月 11 日趨勢科技 TrendMicro

假使勒索病毒一直能為歹徒帶來高達十億美元的獲利，那他們有何理由收手？

十億美元！這就是為何歹徒一直積極投入這類犯罪，而且這類犯罪的成本還在持續降低，因為地下市場上充斥了各種必要的犯罪工具供歹徒購買或租用。

有了這些現成的工具，就算沒有技術背景的人也能發動這類攻擊。無需特殊技能、低風險、高報酬：這根本就是歹徒夢寐以求的”夢幻組合”。

勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬

勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心中一棵巨大的搖錢樹，幾乎每個犯罪分子都想來分一杯羹。為此，一些擁有技術能力的犯罪集團便開發出一種商業模式，以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢，這就是所謂的「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS) 。這項服務給那些無須擁有進階技術、知識或經驗的”客戶”，讓他們可以根據自己的需求來進行設定。

勒索病毒一旦在受害者的系統上執行，就會開始加密電腦或伺服器上的檔案，接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣)，使用者若想救回被加密的檔案，就必須支付贖金。 Encryptor RaaS對它的”事業夥伴喊話:”只要會設定比特幣錢包ID,不需技術能力

有個叫做「Stampado」的勒索病毒 Ransomware在深層網路 (Deep Web) 上主打只要 39 美元的價格便提供「終身授權」。網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件，就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略，包括利用雲端平台和Windows腳本，還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣（「勒索病毒即服務」(Ransomware as a Service，簡稱 RaaS)）。

追劇變悲劇! Cerber 把檔案當肉票

趨勢科技發現某些 Cerber 變種會在受害者點擊播放影片後，跳出視窗導到漏洞攻擊套件的伺服器,然後下載 Cerber勒索病毒。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber 勒索病毒。

論壇傳出勒索病毒大量災情(圖擷取自 PTT)

PC-cillin 雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是2016年7月就賺進近20萬美元。

繼續閱讀

針對人事部的勒索病毒: GoldenEye (黃金眼) ,夾帶 PDF 或 Excel假履歷誘點擊

2017 年 01 月 18 日2017 年 02 月 03 日趨勢科技 TrendMicro

00＿去年三月趨勢科技研究團隊發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )，透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件，信件內含一個連向 Dropbox 雲端空間的連結，點選連結後會發現內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

該病毒會讓電腦出現藍色當機畫面，並且在電腦重新開機時，出現不是熟悉的 Windows 開機畫面，而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

上個月GoldenEye (黃金眼) 勒索病毒 Ransomware (勒索軟體/綁架病毒) (趨勢科技命名為 RANSOM_GOLDENEYE.A)發動了一波波的攻擊，尤其特別針對企業的人事部門。GoldenEye 其實是 Petya (RANSOM_PETYA) 和 Mischa (RANSOM_MISCHA) 兩個勒索病毒的合體。

假冒求職信,偽裝履歷表的PDF 檔案,會覆寫系統硬碟的主要開機磁區 (MBR)

GoldenEye 如同 Petya 和 HDDCryptor 一樣，會覆寫系統硬碟的主要開機磁區 (MBR)，此外也會假冒成求職信件，且信件同樣是挾帶了偽裝成履歷表的惡意 PDF 檔案與暗藏惡意巨集的 Excel 試算表 (XLS)。

圖 1：GoldenEye 假冒成履歷表的 PDF 檔案 (左) 與挾帶 XLS 檔案的垃圾郵件 (右)。

繼續閱讀

資安預測: 去年勒索病毒疫發不可收拾, 2017 年成長力道將開始平緩，但更多非 PC 裝置可能成為肉票

2017 年 01 月 12 日2016 年 12 月 29 日趨勢科技 TrendMicro

趨勢科技在「資安攻防新層次：趨勢科技 2017 年資安預測」報告當中指出，勒索病毒的成長力道在 2017 年將開始趨緩，但攻擊手法和攻擊目標將開始朝多元化發展。讓我們來仔細看看這意味著什麼，以及這項威脅明年將如何演變。

趨勢科技的資安預測基本上是根據 IT 運算潮流的發展與威脅情勢的演變而歸納出來。勒索病毒及其幕後的犯罪集團多年來已有長足的進步，從最早的FakeAV 假防毒軟體，到專門鎖住螢幕的 Screen Locker 勒索病毒，最後發展成今日的加密勒索病毒 Ransomware (勒索軟體/綁架病毒)。這樣的演變事實上是因為歹徒希望盡可能提高整體投資報酬率與單一目標感染率。而 FakeAV 和 Screen Locker 就是無法達成這項目標，因此歹徒後來想到，如果可以挾持使用者的重要檔案或系統，不僅受害者更可能支付贖金，而且還可以提高贖金的價碼。2017 年，除了將看到更多勒索病毒家族之外，同時也將看到更多樣化的攻擊手法和攻擊對象。

►《延伸閱讀》: 資安攻防新層次：趨勢科技 2017 年資安預測」報告

2016 年勒索病毒疫發不可收拾, 150 個新勒索病毒家族，成長率高達 400%

目前，勒索病毒是全世界最大的資安威脅之一。2015 年，我們發現的勒索病毒家族僅有 29 個，但 2016 年我們已發現 150 個新的家族，成長率高達 400%。不過，我們預料這股成長力道將無法持續下去，儘管如此，2017 年仍將較 2016 年成長 25%。換句話說，我們仍需面對各種新的勒索病毒，不過歹徒將專心開發新的對象，以及更多針對企業的攻擊技巧。

2016 年我們已見到這樣的發展，例如舊金山市交通運輸局 (Municipal Transport Agency，簡稱SFMTA) 最近發生的案例，歹徒入侵了該局的自動收費機，使得營運受到影響。SFMTA 為了不影響大眾權益，決定以不收費的方式繼續維持營運。像這類針對企業機構的攻擊，2017 年將更為常見，因為企業為了維持營運，很可能會願意支付較高的贖金。一般來說，勒索病毒要求的贖金大約是 1 至 2 比特幣（Bitcoin） (約合 775 至 1550 美元)，但如果對象是SFMTA 這樣的企業機構，歹徒的贖金價碼將大幅提高，約為 100 比特幣 (73,000 美元左右)，這麼高的投資報酬率，正是歹徒鍥而不捨的原因。凡是營運不能稍有閃失的企業 (如：醫療、製造、公共事業等等) 都應設法將營運管理系統與內部主要網路隔離，或者在傳統的防禦之外，額外增加一些防護。

預測更多的針對性攻擊/鎖定目標攻擊(Targeted attack )利用勒索病毒; 更多非 PC 裝置可能成為肉票

另一項有關勒索病毒的預測是歹徒的攻擊手法將多元化。我們將看到更多的針對性攻擊/鎖定目標攻擊(Targeted attack )開始在受害者電腦上植入勒索病毒，因為這樣不僅可竊取受害者的資料拿到地下市場販售，更可挾持這些資料來勒索贖金 (如果你支付 $XX 贖金，我就不將這些資料公開)。除此之外，我們也將看到一些非 PC 裝置，如：物聯網 IoT ,Internet of Thing裝置、PoS 銷售櫃台系統，甚至銀行 ATM 提款機，都將成為勒索病毒的攻擊目標，如同近幾年來專門攻擊 Android 裝置的行動勒索病毒一樣。發掘更多的攻擊面，一向是歹徒擴大感染率和獲利的策略之一。繼續閱讀

企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南

2017 年 01 月 10 日2016 年 12 月 27 日趨勢科技 TrendMicro

面對勒索病毒 Ransomware (勒索軟體/綁架病毒)的威脅，至今仍沒有一勞永逸或一體適用的解決方案。不過，勒索病毒從單純地造成使用者困擾蓬勃發展成一種犯罪事業的這十年間，資安產業也開發出更好的方法來阻止勒索病毒繼續囂張下去。

2016年，勒索病毒不僅突然崛起，其攻擊目標也開始從家庭使用者轉向各種產業。以下是一些有助您企業有效防範勒索病毒的重要原則。

架起護盾：防範勒索病毒進入系統
面對任何形態的網路威脅都一樣，防範入侵點絕對是一項關鍵，以下是一些有助於防範勒索病毒感染整個企業網路的資安措施：

定期備份重要資料。網路犯罪集團善於利用人們害怕失去重要檔案及文件的心理來迫使受害者支付贖金。因此，只要定期備份重要檔案就能將傷害降至最低，歹徒就無從要脅。此外，良好的備份策略，還可確保所有重要資料都存放在安全的地點，萬一企業發生資料損毀，就能輕鬆復原。請遵守3-2-1 原則來備份檔案：3 份備份、2 種儲存媒體、1 個不同的存放地點。某些惡意程式變種會試圖搜尋網路共用磁碟上的備份資料，因此，將一份備份資料存放在另一個地點非常重要，例如某台未連上公司網路的電腦。
在端點裝置上建立應用程式白名單來防止所有未知及不當的應用程式執行。藉由行為監控和應用程式控管，就算歹徒試圖入侵系統，企業依然能夠維持安全。行為監控有助於掌握系統是否出現「異常」或不尋常的行為，而應用程式控管則能限制系統上只可執行一些非惡意的檔案和執行程序。IT 系統管理員可藉此控管企業網路內可執行的應用程式。
擬定一套以資安為考量的網路分割方案。將資產和資源做策略性的分組，好讓 IT 系統管理員清楚掌握資料的流向，以及可允許存取的對象。適當地切割網路，可避免駭客癱瘓整個網路。確切掌握網路上有哪些使用者，以及他們所存取的資源，並適當加以分類。若能進一步切割使用者權限，並且適當讓網路流量分流，就能為企業最重要的資料帶來多一分的保障。依據各個部門或各個團隊的需求來分割網路，能限縮駭客可存取的資源，有效限制感染範圍。僅開放最低必要的存取權限給使用者，這樣一來歹徒就更難取得系統管理員權限。
教育使用者有關社交工程（social engineering ）攻擊的跡象和危險性。教導使用者養成安全的電子郵件與網路使用習慣，例如，唯有來自信任對象的附件檔案、網址或程式才能打開或執行。此外，鼓勵使用者在遇到可疑的電子郵件和檔案時務必向資安團隊通報，這也同樣重要。
隨時套用作業系統和應用程式廠商釋出的軟體修補。應用程式和伺服器若含有未修補的漏洞，就經常會成為駭客的入侵點，讓歹徒有機可乘，將勒索病毒植入系統。要避免這種情況，軟體就必須定期更新和修補。仔細檢視一下您現有的修補流程，將所有可能妨礙軟體適時修補與更新的障礙排除。此外，虛擬修補技術可以保護含有漏洞的伺服器，就算必要的軟體修補尚且無法套用至所有伺服器和端點也能防範勒索病毒入侵。
確定您的資安產品隨時保持更新，並定期執行掃瞄。不論您的企業網路建置了多少安全防護，駭客只需要找到一個缺口就能入侵。務必確定您所建置的資安解決方案都隨時保持更新，因為，久未更新的軟體等於是為駭客敞開大門。