PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
別讓勒索軟體 A 你的錢,看到勒索訊息為時已晚,即刻防範未然 →即刻免費下載
延伸閱讀:
打開 Word 檔也會中勒索軟體!!新加密勒索軟體Locky,偽裝發票,誘騙下載
Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業
月份: 2016 年 4 月
零時差漏洞攻擊:Magnitude 漏洞攻擊套件收錄舊版 Adobe Flash Player 零時差漏洞 CVE-2016-1019
繼 2016 年 4 月 5 日發出 安全公告 之後,Adobe 隨即釋出了一份緊急更新來修補一個 Adobe Flash Player 漏洞 :CVE-2016-1019。趨勢科技已觀察到一些專門利用 Magnitude 漏洞攻擊套件的零時差攻擊,受影響的使用者包括 Flash 20.0.0.306 版以及更早版本的使用者。不過,這一波攻擊並不影響 Flash 21.0.0.182 及 21.0.0.197 版的使用者,因為 Adobe 已在 21.0.0.182 版當中導入了 Heap 記憶體保護機制,而 21.0.0.197 版理所當然承襲了這項功能。這兩個版本的使用者在遇到這項漏洞攻擊時只會發生 Adobe Flash 當掉的情況。
我們強烈建議所有使用者立即安裝最新的安全更新,因為目前這一波漏洞攻擊正在網路上流行。趨勢科技在 安全更新釋出之前,即發現上述漏洞攻擊套件收錄了這項漏洞,並且會讓電腦感染勒索軟體。
根據我們的分析,CVE-2016-1019 是一種所謂的「類型混淆漏洞」,該漏洞會影響 Flash 20.0.0.306 以及更早的版本。不過在遇到 Flash 21.0.0.182 及 21.0.0.197 版本時,僅會造成 Flash 當掉。Adobe 從 21.0.0.182 版本開始便加入了 Heap 記憶體保護措施。
圖 1:散布 Magnitude 漏洞攻擊套件的惡意網域。
Magnitude 漏洞攻擊套件,全球流量分布,台灣排名第ㄧ
早在 2016 年 3 月 31 日,趨勢科技即經由我們 Smart Protection Network™ 的回報發現一項使用 Magnitude 漏洞攻擊套件 的零時差攻擊已經收錄了這項漏洞。這項攻擊會讓系統感染 Locky勒索軟體,這是一種將惡意程式碼暗藏在文件巨集當中的加密勒索軟體。根據報導,此惡意程式曾攻擊美國肯德基州一家基督教衛理公會醫院 (Methodist Hospital) 的電腦系統。
圖 2:Magnitude 漏洞攻擊套件全球流量分布,台灣排名第ㄧ(2016 年 3 月 31 日至 4 月 6 日)。 繼續閱讀
目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院
就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後,醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。
根據 Cisco 旗下威脅情報中心 Talos 的發現,SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞,而非透過惡意廣告或惡意電子郵件社交工程(social engineering )技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布,並且利用這些伺服器來入侵更多電腦系統,進而搜尋電腦上的重要資料並加以加密,其主要攻擊目標為醫療產業。
[延伸閱讀:Locky 勒索軟體變種攻擊基督教衛理公會醫院]
駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動,並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是,Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中,歹徒要求的贖金是每一台電腦1.5個比特幣(Bitcoin),或者是22個比特幣(Bitcoin)的代價清除所有受感染的電腦。
[延伸閱讀:勒索軟體如何運作]
FBI警告,SAMSAM 會「手動搜尋並刪除」備份檔案,逼迫受害企業就範
兒童追蹤軟體 uKnowkids 資料外洩,暴露其資料庫的安全缺失
網路安全世界又多了一樁諷刺的案例。
美國維吉尼亞州一家公司開發了一款名為 uKnowkids 的「數位管教」軟體,宣稱提供了絕佳的網路安全保護。此應用程式可追蹤孩子的數位生活,從孩子在社群媒體上的行為、到保護孩子免於網路誘拐。但諷刺的是,該公司卻發生了一起重大資料外洩事件,使令人不得不質疑其宣稱的承諾。
根據研究人員 Chris Vickery 發現,此事源於該公司的 MongoDB 資料庫設定錯誤,導致資料庫遭到駭入,大量的 Android 和 iPhone 手機資料因而外洩。其中包括從 1,700 名兒童的 Android 和 iPhone 手機上蒐集到的個人檔案資訊,如:姓名、電子郵件地址、社群媒體登入資訊、GPS 定位、生日,以及近 700 萬筆私人訊息和近 200 萬張照片 (含帳號持有人的小孩照片在內)。此次資料庫外洩在被發現、通報、並迅速修正之前,資料外洩的漏洞早已暴露了 48 天以上。
uKnow 和 uKnowkids 執行長 Steve Woda 在其署名的一份聲明當中證實了前述資料外洩事件:「我要以非常沉重的心情向大家宣布,uKnow 的某個內部資料庫在 2016 年 2 月 16 日和 2 月 17 日兩天分別遭某駭客從兩個不同的 IP 位址駭入。」
雖然該公司尚未透露此事件的詳細經過,但 Woda 在聲明當中提到了此事,並且說明此資料庫漏洞在被發現後的 90 分鐘內已經修復:「過去幾天,我們一直在追查事情的真相,並且針對『所有』uKnow 系統進行分析蒐證。我們打算將『所有』相關的事證提供給客戶、媒體及相關法律單位,我們有自信這些事證的正確性百分之百。」
此外,Woda 也在聲明中提到其外洩的資料範圍不僅涵蓋了「uKnowKids 協助家長提供網路及手機安全的其中 0.5% 的兒童」,還包含該公司的「大量業務資料、商業機密以及 uKnow 最重要的一些關鍵技術背後的獨家演算法。」 繼續閱讀
從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆
巨集惡意軟體使用新手法,利用表單儲存程式碼
巨集惡意軟體會捲土重來並持續流行可能有幾個原因,其中之一是它們繞過傳統防惡意軟體解決方案及沙箱技術的能力。另一個原因是它們會不斷地改善攻擊方式:就在最近,我們看到相關巨集惡意軟體及最新的 Locky勒索軟體會用巨集內的表單物件來混淆惡意程式碼。這種做法可以進一步地讓攻擊者得以隱藏在目標網路或系統內執行的惡意活動。
- 編按:勒索軟體 Locky 近日在台灣有加速散播的趨勢,它利用使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
使用表單(就像應用程式介面的文字方塊),攻擊者會用巨集表內的腳本來產生並執行惡意程式。跟之前的巨集惡意軟體一樣,這也需要使用者手動啟用巨集以觸發執行。但這種新做法需要能夠存取儲存在表單中的shellcode。雖然這種做法被認為比典型技術更困難,但並不一定會影響其安裝。
