趨勢科技 TrendMicro – 第 454 頁

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

2016 年 07 月 08 日2020 年 03 月 09 日趨勢科技 TrendMicro

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時?

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

*並不創新的垃圾郵件做法:社交工程***

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。繼續閱讀

作賊喊抓賊!加密勒索病毒竟說自己是受害者

2016 年 07 月 07 日2016 年 07 月 01 日趨勢科技 TrendMicro

最近，勒索病毒 Ransomware (勒索軟體/綁架病毒)的行為成了大家討論的重點，例如：GOOPIC 給予的贖金支付期限特別長、RAA 會偷取密碼、最新的 JIGSAW 變種則提供了線上聊天支援，而這些還只是六月份出現的案例而已。不過，在這些新的行為當中，最特殊的還是MIRCOP 加密勒索病毒。

MIRCOP 加密勒索病毒 (趨勢科技命名為 RANSOM_MIRCOP.A) 會將一切怪罪到受害者身上，並且還不提供如何支付贖金的指示，事實上，它顯然假設受害者已經知道該如何「歸還」款項。

圖 1：MIRCOP 的勒贖訊息。

此處的重點在於「歸還」這件事，就整個情況看來，受害者似乎心知肚明該將贖金支付給誰，引用「蓋伊·福克斯」面具頭像的勒索訊息似乎暗示受害者「偷了」某知名駭客激進團體的東西，並且威脅受害者如不歸還這筆金額，將採取進一步行動。

編按:蓋伊·福克斯面具是根據蓋伊·福克斯的面容加以風格化而描繪成的一種肖像。這位火藥陰謀計劃中最著名的成員曾於1605年企圖在倫敦炸毀上議院但未成功。插畫家大衛·勞埃德將蓋伊·福克斯的臉部肖像設計成有著特大的笑容、透紅的雙頰、開開往上翹的八字鬍、以及下巴上有著細細尖尖垂直鬍鬚樣子的風格。1982年所出版的《V怪客》漫畫以及2006年所改編的同名電影都將這樣風格的肖像用作為故事情節的主要元素，使得該肖像已然成為各式各樣抗議活動的象徵。自其在網路論壇上出現之後，網路駭客組織團體「匿名者」便在2008年的佔領運動「Chanology 行動」中使用這種風格的面具肖像，也曾在世界各地其他的反政府、反體制的示威遊行中使用過，使得該面具成為眾所周知匿名者組織的象徵符號。
以上來自維基百科: 蓋伊·福克斯面具

繼續閱讀

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

2016 年 07 月 06 日2016 年 06 月 30 日趨勢科技 TrendMicro

今年稍早，趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件，占該年所有漏洞攻擊套件活動的 59.5%，但如今卻完全銷聲匿跡。

有趣的是，就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後， Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂，但網路犯罪分子顯然並未受到影響，因為他們正忙著尋找新的漏洞攻擊套件來取代，Angler 之所以成為當時的首選，是因為它收錄新漏洞的速度最快，而且擁有許多躲避防毒軟體偵測的技巧，例如：將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後，趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加，但完全無法和 Angler 相提並論，顯然，之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1：漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒)，那麼 Angler 沉寂之後，是否會對勒索病毒造成影響？答案是：「不盡然」。今年三月，我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒，而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上，我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino，而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件，也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞，Rig 曾經出現在近期的一波惡意廣告當中，受害者幾乎遍及 40 個國家，但主要目標為日本。