你具備法文讀寫能力嗎?你可以敏銳的分辨出錯誤和正確的法文拼寫及文法嗎?你或許能夠在法國網路犯罪世界工作—-如果你不介意用贓物作為酬勞的話。
根據趨勢科技最近在法國地下網路的發現,我們看見了有趣的發展 – 地下網路在徵求一位「清理人(Cleaner)」,並且將職務說明貼到論壇上來徵求合適人選。根據職務說明,「清理人(Cleaner)」的工作是要檢查拼寫錯誤及文章可讀性並且來清理內容。
這是我們第一次看到徵人廣告直接貼在地下網路。這樣的廣告在一般的網站可能看起來相當正常。但這廣告的四周都是販賣惡意軟體或網路犯罪即服務等廣告,而且這份工作聽起來有點太過容易。話又說回來,這工作也可能相當具有挑戰性,因為法文有陰陽性名詞以及各種不同的詞性變化規則。
以下是我們所看到的徵人廣告截圖:
圖1、清理人(Cleaner)的廣告
雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾,我們也發現到有些勒索病毒並不挑剔:HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源,如透過伺服器訊息區塊(SMB)分享的磁碟、資料夾、檔案、印表機和序列端口,還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。
感染媒介和安裝方式
HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件(正常或惡意的都有)植入系統的根目錄:
它還會加入一個名為DefragmentService的服務並且透過命令行加以執行,好持續存活在系統內。
有別於多數,法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。
每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。
現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動,尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子,網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如,目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西和北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處?
若要說法國地下市集有何獨特之處,那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人,都必須先繳交一筆蠻大的會費,甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功,其聲望值就越高。
這種瀰漫在市集間的不信任感,也助長了成員之間的猜忌。因此,第三方代管 (Escrow) 服務是確保交易順利進行的必要機制,如同俄羅斯和德國的市集一樣。挺諷刺的是,每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。
防毒軟體 PC-cillin 2017雲端版全新上市,3+1多層式防護遠離勒索病毒威脅
【2016年9月21日台北訊】勒索病毒全球肆虐,引發消費資安危機!趨勢科技針對台灣勒索病毒最新現況提出警訊:全台平均每8秒就有一個裝置受到攻擊!其中有高達4成是針對一般消費者的電腦裝置進行攻擊。在日漸頻繁的勒索病毒攻擊下,網路大數據顯示消費者最心痛的遭勒索經歷前三名依序為:舊時照片找不到、拯救電腦要花錢以及重要文件打不開,再再都造成消費者難以計算的精神與金錢損失。為提供消費者更全面的資安防護,趨勢科技PC-cillin 2017雲端版防毒軟體於今(21日)宣布正式上市,除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!
台灣勒索病毒警鐘快響,全台每8秒就有一個裝置受到攻擊
台灣勒索病毒攻擊日趨嚴重,根據趨勢科技最新統計數據顯示,最近六個月台灣遭勒索病毒攻擊總數超過200萬次,換算平均每8秒就有一個裝置遭受攻擊;其中有4成是針對一般消費者的攻擊。趨勢科技台灣暨香港區總經理洪偉淦表示:「台灣是亞太區遭勒索病毒攻擊第二高的國家,僅次於日本。 2016年上半年整體勒索病毒攻擊次數相較去年同期成長了4倍;其中針對消費端裝置的攻擊在2016第二季相較第一季更是急速成長4倍,可見勒索病毒威脅正以驚人的速度影響一般民眾的生活。」
最心痛勒索經歷排行:兒時照片找不到、拯救電腦要花錢、重要文件打不開
勒索病毒對民眾所造成的危害已經不容忽視, 根據趨勢科技與網路溫度計合作的網路大數據分析註1,民眾最心痛遭勒索病毒攻擊經歷排行前五名依序為:
利用正常網站當作命令與控制伺服器(C&C)通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器,也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。
最新的一個勒索病毒 CryLocker(偵測為RANSOM_MILICRY.A)也是類似地會利用Imgur,這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時,發現 Rig和Sundown都會散播此威脅。
勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿
這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後,勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。
圖1、受害者資料被打包成PNG圖檔並上傳到Imgur相簿的截圖。
漏洞攻擊套件透過惡意廣告散播
趨勢科技在9月1日發現惡意廣告活動透過 Rig漏洞攻擊套件來散播此勒索病毒。但從9月2日開始就停止派送。仔細檢查上傳到Imgur的 PNG圖檔後,我們注意到有資料是早在8月25日就被加密。
圖2-3、Sundown和Rig漏洞攻擊套件的流量