勒索病毒 - 資安趨勢部落格

“一早打開信箱,竟發現自己成為偷拍影片主角!” 五個令人駭怕的數位生活故事(真實案例)

2016 年 10 月 31 日2017 年 10 月 31 日趨勢科技 TrendMicro

10月是西方人認為一年中最陰森的月份,因為萬聖節正在呼喚著惡作劇、主題裝飾、各類糖果及讓人發冷的嚇人故事。在科技業，「嚇人」的故事經常都是關於「機房」的笑話，或是一再遇上軟硬體問題的經歷。在這萬聖節時，我們要提供真正的資安恐怖故事，並告訴你該如何避免成為受駭者。

不給錢就搗蛋的五個駭人嚇出冷汗的故事

故事一:誤入中毒廣告伺服器的勒索病毒生還者

故事二:他收到一封信,裏面有個被偷拍的影片,他居然是男主角

故事三:會計收到 CEO 要求匯款信件,不理會銀行提醒,堅持把錢匯給詐騙集團

故事四:信用卡的帳戶異常提醒來電,被錯認是詐騙

故事五:寬頻服務商表示出現異常記錄,技術人員假好心真詐財

故事一:誤入中毒廣告伺服器的勒索病毒生還者

點入連結,小視窗瞬間閃過,勒索病毒即刻接管

DJ Singh是Wipro Digital的技術總監，他也遭受過勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊，並且分享了他點入一個連結後發生的故事。這連結很不幸的是連到中毒的廣告伺服器之後，有個小視窗在瞬間閃過，然後勒索病毒就接管了他的電腦。

DJ當時意識到自己感染了勒索病毒，這是一種會讓他無法使用自己檔案的惡意軟體。他試圖檢查電腦內的安全功能，卻沒有一個有用。在試圖拯救檔案時，他看見檔案已遭加密的訊息，需要解密代碼來解鎖。幸運的是，DJ在網路上找到一個解決方案來回復一些檔案。原來，這惡意軟體會將解密金鑰隱藏在程式碼中。在被這勒索病毒嚇到之後，DJ了解到他可以將筆記型電腦從網路隔離來減少勒索病毒的影響。也了解到他有備份就不需要支付贖金。

無法使用重要檔案對個人或組織來說都是最糟糕的噩夢，勒索病毒經常會用各種方法來感染系統讓它成為常見的威脅。除了利用安全軟體來防禦勒索病毒外，使用者也必須避免打開未經驗證的電子郵件或連結，並且定期更新軟體和應用程式。使用 3-2-1 原則來進行檔案備份也可以有效減少勒索病毒所造成的影響。

⊙延伸閱讀:Cerber勒索病毒透過惡意廣告散播, 主要集中在台灣,防範檔案成肉票,兩個重要提醒!

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！
即刻免費下載

故事二:他收到一封信,裏面有個被偷拍的影片,他居然是男主角

駭客說:我知道你昨晚做了什麼 繼續閱讀

趨勢科技資深威脅研究員,透過分析Stampado 勒索病毒,改良惡意軟體辨識工具Yara

2016 年 10 月 27 日2016 年 10 月 22 日趨勢科技 TrendMicro

Yara 是一個資安研究人員所使用的開放原始碼工具，可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久，一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS) 威脅，不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本，原本我打算在這些樣本之間找找看有沒有共同的字串，但沒有成功。後來我比對了各檔案之間的結構發現，每一個檔案末端都有一段有趣的內容，從位移 0xde000 處開始：

圖 1：Stampado 勒索病毒樣本內容以十六進位碼顯示。

檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事，他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客，說明中有提到這件事：

圖 2：給 Stampado 買家的使用說明。

我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組，數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號)，然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用，因為在 DOS/Windows 系統下，如果要換行的話，正確的方式是 0x0d 0x0a (也就是 CR + LF：返回開頭並前進一行)，至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣， Stampado 的樣本檔案末端都會帶著一個 CR 符號，這也算是個有趣的特徵，這樣就能建立 Yara 規則來偵測這個惡意程式。繼續閱讀

勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力

2016 年 10 月 24 日2016 年 10 月 24 日趨勢科技 TrendMicro

2015年7月，一個名為「Encryptor RaaS」（趨勢科技偵測為RANSOM_CRYPRAAS.SM）的新勒索病毒即服務（Ransomware-as-a-Service）浮出檯面，想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬：跨平台，吸引人的價格，而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅，因為Encryptor RaaS可以對會員提供客製化服務。

Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板，讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來（如Cerber，開發者抽取40%的佣金），Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒，當然,為了躲避追查,比特幣（Bitcoin）是首選交易貨幣。

早在2016年3月，趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒，同時也不斷地利用反防毒服務和加密服務。

但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落？

犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID，並不需要其他技術專長

Encryptor RaaS會在表層網路和黑暗網路（Dark Web）的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外，並不需要其他技術專長。他們還會取得一個「客戶ID」，所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額，並選擇使用哪些方法來散播定製的惡意軟體。繼續閱讀

三步驟對抗勒索病毒

2016 年 10 月 20 日2016 年 10 月 12 日趨勢科技 TrendMicro

2016年上半年，新勒索病毒家族,比2015年全年增加了172%

勒索病毒 Ransomware (勒索軟體/綁架病毒) 的大量出現對一般使用者和企業來說都是件可怕的事情。2015年底，趨勢科技預測2016年會成為網路勒索年，不幸的是此一預言已經成真。光是在2016年上半年，趨勢科技就發現了79個新勒索病毒家族（比2015年全年還增加了172%），而且阻止了近8,000萬次的勒索病毒威脅。（參考勒索病毒當道的時代，TrendLabs 2016年上半年安全綜合報告）。很遺憾的行動設備現在也成為了目標。Android手機勒索病毒在2016年6月的成長是2015年4月的15倍。

那麼日常使用者該如何在勒索病毒肆虐下保護自己呢？答案有兩個：get smart（放聰明點）跟get protected（取得防護）。get smart（放聰明點）指的是了解如何避免感染勒索病毒。get protected（取得防護）指得是安裝防毒軟體在你的電腦和手機平板等行動裝置來阻止勒索病毒登門踏戶,當然也代表要學會使用安全軟體的防禦勒索病毒的功能，比如趨勢科技PC-cillin雲端版新的勒索剋星來加以協助。

自2015年10月至今，趨勢科技已攔截一億次以上的勒索病毒威脅^※1。PC-cillin雲端版創新提供多重偵測防護機制，可為您防範勒索病毒入侵，保護您的重要檔案。

3重勒索病毒防護

雲端攔截病毒網址
主動偵測並封鎖勒索病毒及惡意程式透過網頁、電子郵件或社群網站上的惡意網址入侵電腦
主動封鎖勒索病毒
針對最新爆發的勒索病毒，能即時偵測並阻止其進行加密動作，還能事先備份並還原已遭到加密的檔案
創新勒索剋星防護
只要預先設定欲保護的資料夾，即可封鎖勒索病毒惡意加密資料夾中的檔案^※2，以保護您最重要的資料。

※1 Trend Labs，2016 年 4 月：99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊。

※2 針對勒索病毒主要鎖定的檔案類型

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

《資安漫畫》瀏覽合法的官方網站也會中毒！？一次看懂勒索病毒四個地雷

2016 年 10 月 18 日2016 年 11 月 22 日趨勢科技 TrendMicro

「只要不點入可疑網站就不會中毒」?!

Q：瀏覽合法的官方網站也會感染上勒索病毒！？

A：是的，如果電腦有軟體的修補程式沒有更新的話，遇到「Drive by download」路過式下載攻擊，瀏覽惡意網頁或惡意廣告就會中毒，台灣也傳出相關案例。

Q：Cerber勒索病毒透過惡意廣告散播，主要集中在台灣，只要不點擊廣告就不會中招？

A：惡意廣告是勒索病毒傳播的主要途徑之一，大多數人對於惡意廣告有著很大的誤解，就是要有點擊的動作才會受到危害，事實上，惡意廣告的攻擊並不需要使用者的點擊，只要瀏覽器或裝置顯示出惡意廣告，使用者就會受到攻擊。

Q：網路追劇也有可能遇到勒索病毒嗎？

A：很多網友因為在網路追劇中毒，因為有些廣告會在影片播放前顯示，網路犯罪集團會經由這類廣告來散布惡意程式。這就是所謂的「惡意廣告」，除了勒索病毒,它們也利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

Q：CryptXXX勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀，所以大型網站比較安全嗎？

A：在台灣傳出大量災情的 CryptXXX(RANSOM_Waltrix)勒索病毒主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的情況。許多高知名度的網站，因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。報導指出網頁廣告成勒索軟體散播溫床，紐約時報、BBC、MSN 皆中招，文中指出”攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索病毒。

趨勢科技建議：

若作業系統或是應用程式有提供修補程式或更新程式，應該要盡快更新，並使用防毒軟體，如此一來就能大幅度地減少威脅。