趨勢科技 TrendMicro – 第 459 頁

SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼

2016 年 06 月 21 日2016 年 06 月 14 日趨勢科技 TrendMicro

SNSLocker 加密勒索病毒雖然在行為和外觀上並不突出，但其粗糙平凡的外表下卻隱藏著一項令人震驚的事實。當趨勢科技仔細研究過它的程式碼之發現，這個勒索病毒 Ransomware (勒索病毒/綁架病毒)程式碼當中竟含有其伺服器的帳號密碼。

SNSLocker 加密勒索病毒作者的動機就如同許許多多趕搭勒索病毒大賺黑心錢順風車的網路犯罪分子一樣：它使用的是網路上現成的伺服器和付款機制。不過這一次，歹徒不是太過心急，就是為了省錢，竟然讓自己的帳號密碼就這麼大剌剌地公開 (其帳號密碼已經被其資安研究人員公布在社群網站上)。我們已經將這項消息通報給執法機關。

SNSLocker (偵測名稱：RANSOM_SNSLOCKER.A) 所包含的元素與絕大多數加密勒索病毒相同，例如：倒數計時、恐嚇訊息、加密檔案、提供付款連結、勒索贖金 (300 美元) 等等。

圖 1：SNSLocker 鎖定螢幕畫面。

SNSLocker 純粹採用 .Net Framework 2.0 並搭配一些熱門程式庫 (如 Newtonsoft.Json) 以及 MetroFramework UI 所撰寫。其核心更採用了 Microsoft .Net Crypto API 來縮短開發時間。

圖 2：SNSLocker 是以 .Net Framework 2.0 所撰寫。

先前已提到，該勒索病毒的程式碼當中含有其伺服器的帳號密碼字串。不論是刻意或是忘記，將密碼留在程式碼內，等於讓所有人都能進入其伺服器。不只這樣，其加密金鑰也可公開取得。

圖 3：程式碼中還留著伺服器帳號密碼。

架設伺服器和散布 SNSLocker
趨勢科技發現，駭客申請了一個免費的伺服器代管服務來架設幕後操縱 (C&C) 伺服器與付款伺服器。也就是說，駭客幾乎不用花費一毛錢來維護這個帳號。除此之外，SNSLocker 也利用了一個合法的數位貨幣交易閘道來接收款項，這顯示駭客在這方面並未多花費任何心思來做出自己的特色。

最後，我們看到 SNSLocker 已透過它的伺服器散布至全球各地。在我們分析的當時，其受害者早已遍布全球，儼然成為一項全球威脅。繼續閱讀

強化端點防護成為多層次勒索病毒防禦的一環

2016 年 06 月 20 日2016 年 06 月 21 日趨勢科技 TrendMicro

難有可靠的統計數據可以顯示出全球勒索病毒 Ransomware (勒索軟體/綁架病毒)疫情的確切規模，但根據美國聯邦調查局的資料，單單 CryptoWal l這個變種就在短短一年多內帶來超過1,800萬美元非法暴利。顯而易見的，這已經成為黑帽駭客對受害者敲詐錢財的新歡了。這也是為什麼趨勢科技推出全面性的活動來幫你向勒索病毒說不。

我們推出了系列文章來詳細說明多層次防禦是組織降低感染風險的最佳做法，在上一篇的文章中，我們說明大多數威脅能夠在網頁和電子郵件閘道被攔截，雖然這是真的，但確保你佈署些什麼來攔截可能穿過的東西也非常重要，這就是端點安全防護作用的地方。

犯罪份子的搖錢樹

勒索病毒 Ransomware攻擊可以具毀滅性，使企業資料無法被存取就能夠癱瘓整間企業，即便不是所有資料都會被惡意軟體加密，但很可能你會被迫將整個IT系統離線作為防禦措施，這可能導致服務中斷、生產力損失及嚴重打擊你的聲譽。

好萊塢長老教會醫療中心是最早因為這類攻擊而上新聞的機構之一，一般認為攻擊造成醫院被迫將病人轉診和取消X光、電腦斷層掃描和實驗室作業，執行長Allen Stefanek後來承認支付了40比特幣（Bitcoin）的贖金（當時約17,000美元）來取回它的檔案。他聲稱這是「回復我們的系統和行政作業最快和最有效的方式。」

這也讓我們很容易知道為什麼勒索病毒在網路犯罪世界變得如此受歡迎，以及為什麼組織必須提高預防措施來避免遭受類似的命運。

該怎麼做?

正如之前的文章所說，趨勢科技的網頁和電子郵件閘道解決方案可以攔截99%的勒索病毒威脅。大多數這類威脅都是透過這些管道來針對你組織內最脆弱的一環 – 一般使用者，但這可能被偷偷繞過的1%怎麼辦？畢竟在勒索病毒數量節節上升的時候，1%仍可能是相當大的數量，而只需要一個使用者一次的錯誤點擊就能夠讓組織陷入混亂。繼續閱讀

是時候保護你的伺服器對抗新一波的勒索病毒了

2016 年 06 月 17 日2016 年 06 月 20 日趨勢科技 TrendMicro

Ransomware (勒索軟體/綁架病毒)是現今IT安全團隊的災難。如果讓它在你的IT環境內擴散，就可能會癱瘓整個組織，幾天內都無法存取關鍵資料，甚至會是永遠。會有什麼後果？會造成服務停擺，生產力損失並且嚴重損害信譽和營利。有些人認為最好的答案是在電子郵件/網頁閘道加以攔截，並且教育員工來更好地察覺可疑電子郵件，雖然這些都很重要，但並非全部，網路犯罪分子也在尋求另一種攻擊載體來直接針對你的伺服器 – 攻擊未經修補的漏洞和終止支援的系統。

這就是為什麼伺服器安全防護也是多層次防禦的重要一環，組織需要加以落實以有效地降低勒索病毒攻擊風險。

是時候進行修補

伺服器是你最珍貴資料所停留的地方，所以壞人也自然地會直接針對IT基礎設施的這一塊。這可以從新威脅看到（如刪除備份,逼迫就範!! 攻擊伺服器漏洞的 SAMSAM) ,它們並非透過惡意網址或電子郵件附件檔進入，而是攻擊未經修補伺服器的漏洞，它已經讓十家馬里蘭醫院被迫暫時關閉，這些醫院都屬於MedStar網路的一部分，同時也在教育單位引起類似問題。

沒有IT資安專家會否認進行修補的重要性，但這並非一件簡單的事情，現今的IT環境是複雜的混合式架構，IT部門需要管理多種不同的修補更新機制。對於重要的關鍵系統，有時候甚至需要延遲修補，因為企業根本無法承擔進行測試和佈署更新所需的停機時間，據估計，企業平均需要100到120天來修補新發現的漏洞，只需要有一次漏洞攻擊穿透你的組織，就會成為新聞頭條的下一個勒索病毒受害者。此外，無論是為了運作或財務因素，許多組織都還在運行已終止支援的系統（如Windows 2003），所以沒有安全修補程式可用，這會進一步讓組織處在受感染的危險中。

越來越多企業運行的是實體、虛擬和雲端的混合環境，為安全架構投入更複雜的因子，這樣的複雜性所產生的間隙讓網路犯罪分子可輕而易舉的利用。你可能已經在邊界佈署了安全防護，但如果受感染的端點連上具有漏洞的檔案伺服器呢？接著就會發生出現在內部網路的攻擊，繞過了傳統的安全控制。而且，雲端環境並沒有邊界…那接下來怎麼辦？

繼續閱讀

勒索病毒在內容農場,大型入口網站四處亂竄,不點廣告就沒事?三不三要捍衛血汗錢!!

2016 年 06 月 16 日2016 年 06 月 29 日趨勢科技 TrendMicro

近日台灣網友在 PTT 防毒版大量傳出勒索病毒災情，這個被稱為電腦版綁架案的疫情慘烈,受害網友電腦內的重要檔案都在瞬間一一被加密成.cryp1檔。此波在台灣造成大量災情的是 CryptXXX(RANSOM_Waltrix)勒索病毒。

根據趨勢科技統計資料顯示，台灣地區勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊人次在5月份達到新高，共計50萬人次遭內含勒索病毒的網頁攻擊，較4月份成長3倍。

勒索病毒就像網路版的綁架案，目前最流行的加密型勒索病毒，便是駭客利用勒索病毒感染使用者裝置，將其檔案以加密的方式『綁架』，並向使用者提出支付贖金要求(以比特幣計價，動輒上萬元)；如不提供贖金則將這些檔案『撕票』，使用者將永遠無法開啟使用遭受加密的檔案資料；且近期所出現的新型勒索病毒，更會限制付款時間，隨著時間倒數，將刪除越多檔案，增加受害者心理負擔。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

本文整理關於加密勒索病毒的常見問題如下:

在台灣傳出大量災情的 CryptXXX加密勒索病毒,主要透過那些途徑散播?
惡意廣告是CryptXXX(RANSOM_Waltrix)勒索病毒傳播的主要途徑之一,只要不點擊廣告就不會中招?
CryptXXX勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀,所以大型網站比較安全嗎?
感染勒索病毒的四個主要症狀
中了勒索病毒的緊急措施
平時如何防範勒索病毒?三不三要!

在台灣傳出大量災情的 CryptXXX加密勒索病毒,主要透過那些途徑散播?

此波肆虐台灣的 CryptXXX(RANSOM_Waltrix)勒索病毒，感染案件遽增的原因是駭客透過惡意廣告發動攻擊，所謂惡意廣告是駭客偽裝成廣告主，將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒，尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞，若使用者電腦沒有更新修補程式，只是瀏覽一般網頁就可能會中勒索病毒。繼續閱讀

為何能見度是剷除勒索病毒的關鍵?

2016 年 06 月 16 日2016 年 06 月 22 日趨勢科技 TrendMicro

大多數組織都會努力降低營運成本和提高網路整體效率，但往往有不可預見的風險和成本出現在連接內部伺服器和主機與連接外部第三方廠商和設備的基礎設施。如果沒有具備對所有網路流量和活動內未知可疑事件的能見度，黑帽駭客總可以想出方法侵入你的網路。

缺乏對網路的能見度讓勒索病毒作者可以有效地利用你的資料來從你身上賺錢。更糟的是讓組織面臨大量未知的風險和成本，有許多會超出原本的勒贖金額。

勒索病毒 Ransomware (勒索軟體/綁架病毒)曾經只是一般使用者的問題，但現在犯罪集團正用勒索病毒來侵入你的網路、主機、資料庫、共享檔案和系統備份，讓它們陷入成為勒索人質的危險。雖然很難準確地估計全球企業勒索病毒疫情的影響，趨勢科技在去年十月到2016年四月間攔截了9,900萬次威脅。另一個關於這問題有多嚴重的指標則是在2016年三月時，美國國土安全部的US-CERT和加拿大的網路事件反應中心（CCIRC）發出針對勒索病毒危險性的重大警告。

該警告列出對企業的一些可能影響：