或許是受到犯罪集團一再得逞的鼓舞,駭客們不斷開發出新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族和變種,而且速度快得驚人,最新出現的一個家族叫作「R980」(趨勢科技命名為 RANSOM_CRYPBEE.A)。
經由垃圾郵件或已遭入侵的網站散布
就目前所知,R980 是經由垃圾郵件或已遭入侵的網站散布。就像 Locky、Cerber 和 MIRCOP 一樣,挾帶此勒索病毒的垃圾郵件附檔當中暗藏著惡意巨集 (W2KM_CRYPBEE.A),會從某個網址下載 R980。從今年 7 月 26 日趨勢科技偵測到 R980 至今,已發現多次它連線至該網址。
可加密的檔案類型有 151 種
R980 可加密的檔案類型有 151 種,使用的是 AES-256 和 RSA 4096 演算法。儘管被加密的檔案檔名末端會加上「.crypt」副檔名,但它卻與使用相同副檔名的舊版 CryptXXX 勒索病毒沒有任何相似之處。在加密方面,R980 使用了某個加密服務供應商 (CSP) 的 Windows 軟體程式庫來執行加密。
繼會偷偷幫你點色情廣告,讓你手機帳單暴增和假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身,遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。
《Pokemon GO》手機遊戲如旋風般橫掃全球,網路犯罪集團早就盯上這波熱潮,連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現,趨勢科技將它命名為:Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇,然而在經過仔細研究之後,我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。
在受害電腦上建立網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上
開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組。此外,駭客還透過修改系統登錄的方式,讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時,它還會在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上。
執行檔複製到可卸除式磁碟時,就會自動執行《Pokemon GO》寶可夢勒索病毒
當這執行檔是複製到可卸除式磁碟時,它還會順便建立一個自動執行 (autorun) 檔案,這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟,則會複製到磁碟的根目錄。歹徒透過這樣的方式,讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。
研究人員表示,有多個跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。
根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看,它似乎是針對阿拉伯語系的國家而開發,勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此,其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思),這似乎也透露出程式開發者的國籍。
Hidden Tear 釋出原始碼時闡明僅供教育用途,不得用來開發勒索病毒,但… 繼續閱讀
7 月 19 日,許多企業網站都因遭到駭客入侵而開始散布勒索病毒 Ransomware (勒索軟體/綁架病毒),所有瀏覽這些網站的訪客全都遭殃。根據報導,瓜地馬拉官方旅遊網站 Dunlop Adhesives 以及其他正常的網站都遭到同樣的攻擊。
根據報導,這些網站都遭到了某個稱為 SoakSoak 的Botnet傀儡殭屍網路或類似專門針對內容管理系統 (CMS) 漏洞的自動化攻擊。這些受到攻擊的網站會將訪客導向某個惡意網站,惡意網站會試著在使用者電腦上安裝 2016 年 4 月首次被發現的 CryptXXX 勒索病毒家族,此病毒具備反制虛擬機器與反制資安軟體分析的躲避偵測功能。
SoakSoak 殭屍網路在找到含有未修補漏洞的網站之後,就會在網站中插入重新導向的腳本程式碼,藉此將訪客重導至另一個含有 Neutrino 漏洞攻擊套件的網站,這是一個地下市場上販賣的「商用」惡意程式安裝套件。
在這次的最新案例當中,Neutrino 漏洞攻擊套件會檢查端點裝置是否安裝了任何資安軟體或 Flash Player 除錯工具。根據該部落格的說法,若裝置上未安裝這些程式,攻擊套件就會開啟一個指令列介面程式 (command shell) 並透過 Windows Script Host 腳本執行程式從其幕後操縱 (C&C) 伺服器下載勒索病毒到電腦上。
當正常網站遭到毒化
這樣的手法早已不是什麼新聞,駭客一直在利用各種惡意廣告來駭入正常網站,並利用其他技巧來將使用者引導至漏洞攻擊套件。遭到駭客入侵的網站會將使用者重導至含有漏洞攻擊套件的網站。在大多數情況下,駭客之所以能輕易駭入這些網站,是因為其伺服器使用的是含有未修補漏洞的 CMS 軟體。2015 年 11 月,趨勢科技即曾經撰文揭露第一個利用 Angler 漏洞攻擊套件經由遭到入侵的網站感染訪客電腦的 ElTest 攻擊行動。我們發現,該行動至少成功入侵了 1,500 個網站,並且利用這些網站來散布 Cryptesla 勒索病毒 (趨勢科技命名為:RANSOM_CRYPTESLA.YYSIX)。ElTest 攻擊行動通常會在其駭入的網頁當中插入一個 SWF 物件,此物件會載入一個 Flash 檔案並在網頁安插一個隱藏的 iFrame 來將使用者重導至含有漏洞攻擊套件的網站。
ElTest 並非唯一專門針對網站漏洞的攻擊行動,我們還見過許多其他的行動專門攻擊採用 WordPress、Joomla 及 Drupal 這類知名內容管理系統的網站。遭到入侵的網站大多是因為使用了含有未修補漏洞的內容管理系統或第三方熱門附加元件。
勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。
最近,RaaS 的價格又再度開始滑落,原因是,當勒索病毒的需求不斷成長之後,已有更多的病毒作者紛紛投入這塊市場,進而導致競爭激烈,價格隨之下滑。不過,Stampado 的作者看上的一點是,對從事犯罪的歹徒來說,不管是高手撰寫的精密勒索病毒,或是粗劣的仿製品,其實沒有太大差別,只要能達到效果,讓歹徒快速海撈一票,就會有人購買。
勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來煽動其他入門新手或是想要從事網路犯罪的人加入這場黑心掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。
一個名為「Stampado」(趨勢科技命名為 RANSOM_STAMPADO.A) 的新勒索病毒家族開始出現。一開始,資安研究人員甚至還無法取得該威脅的樣本,儘管新聞媒體上已經出現報導,而且聽說價格便宜 (套句作者的話還非常「容易管理」),在地下市場上只要 39 美元就能取得永久授權。
然而根據研究人員的分析發現,Stampado 似乎涉嫌抄襲當今最流行的勒索病毒之一:Jigsaw。兩者都會在一段時間之後隨機刪除檔案來逼迫受害者支付贖金。 繼續閱讀
本文是一系列四篇部落格文章的第二篇,專門探討勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊一般使用者及企業的各種不同技巧。從這些技巧看來,防範這類威脅最好的方式就是在企業網路的各個層面建置多層式防護,從閘道、端點、到網路和伺服器。
先前的文章請參考這裡:
FBI: 光是今年,勒索病毒所造成的損失就高達 10 億美元
根據 FBI 美國聯邦調查局預測,光是今年,勒索病毒 Ransomware (勒索軟體/綁架病毒)所造成的損失就高達 10 億美元。勒索病毒儼然已成為一項「錢」景看好的生意,而網路犯罪集團也正積極轉戰其他領域來開拓更多攻擊目標,無論一般使用者或大大小小的各種企業皆無一倖免。
一般來說,中小企業 (SMB) 通常缺乏足夠的資源來建置完善的資安解決方案,根據一項調查顯示,美國有 65% 的中小企業不願將錢花在勒索病毒相關問題上,包括支付贖金或建置防護;而大型企業,儘管已建置了多層式防護,其網路仍舊存在著資安風險,尤其當威脅來自已知的信任來源,例如:第三方合作夥伴、廠商、聯絡人或是自己的員工。在這樣的情況之下,具備良好行為監控以及應用程式控管功能的端點防護,將是企業對抗勒索病毒的最後一道防線。
圖 1:勒索病毒攻擊與因應解決方案。
行為監控如何運作
趨勢科技 Smart Protection Suite 和 Worry-Free Pro當中所內建的行為監控功能可追蹤並封鎖任何「異常」或不常見的系統行為或變更,如此就能根據已知和未知的攻擊手法與技巧,包括加密、操弄處理程序、在系統植入檔案、幕後操縱 (C&C) 通訊等等,主動偵測及防止勒索病毒與加密勒索病毒執行,此外,還可封鎖專門竊取資訊的勒索病毒變種,如 RAA 及 MIRCOP勒索病毒。 繼續閱讀