勒索病毒 - 資安趨勢部落格

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

2016 年 07 月 06 日2016 年 06 月 30 日趨勢科技 TrendMicro

今年稍早，趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件，占該年所有漏洞攻擊套件活動的 59.5%，但如今卻完全銷聲匿跡。

有趣的是，就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後， Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂，但網路犯罪分子顯然並未受到影響，因為他們正忙著尋找新的漏洞攻擊套件來取代，Angler 之所以成為當時的首選，是因為它收錄新漏洞的速度最快，而且擁有許多躲避防毒軟體偵測的技巧，例如：將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後，趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加，但完全無法和 Angler 相提並論，顯然，之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1：漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒)，那麼 Angler 沉寂之後，是否會對勒索病毒造成影響？答案是：「不盡然」。今年三月，我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒，而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上，我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino，而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件，也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞，Rig 曾經出現在近期的一波惡意廣告當中，受害者幾乎遍及 40 個國家，但主要目標為日本。

圖 2：Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)

Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣，主要攻擊日本地區，值得注意的是，並非所有前述攻擊都透過 Sundown 來散布勒索病毒。繼續閱讀

「只要不點入可疑網站就不會中毒」?!

2016 年 07 月 05 日2016 年 06 月 29 日趨勢科技 TrendMicro

只是觀賞也有可能遭受惡意廣告感染的威脅

「只要不點入可疑網站萬事OK」的防毒口號，很抱歉已經不再適用了。為了防範來自網路資安的威脅,保持作業系統及各種應用程式更新到最新，最重要的就是盡可能減少資安漏洞存在電腦的時間以降低所帶來可能的威脅。當然，為自己提高安全防護的最佳方法是將防毒軟體版本維持在最新狀態。

繼續閱讀

Cerber 勒索病毒鎖定 Office 365

2016 年 07 月 01 日2016 年 07 月 18 日趨勢科技 TrendMicro

專門鎖定 Office 365 使用者的 Cerber 勒索病毒 Ransomware (勒索軟體/綁架病毒)會暗藏在 Microsoft Word 巨集當中，因此傳統的資安技術很難加以偵測而且，就算使用者已被訓練成對執行檔或壓縮檔保持警戒，也很可能不小心開啟其 Word 檔案，尤其當人才招募主管看到一封假冒應徵者履歷的電子郵件時更容易上當。2015 年，趨勢科技已見到巨集惡意程式數量大幅攀升。

2015 年巨集惡意程式大幅增加。資料來源：TrendLabs 2015 年資訊安全總評

此次的 Cerber 巨集惡意程式是一種所謂的勒索病毒服務 (Ransomware-as-a-service，簡稱 RaaS)，正如同我們在 3 月 6 日的一篇文章所說，它專門服務俄羅斯地下市場有意從事網路犯罪的其他歹徒。它有一項特殊功能，不但會隨機顯示一段訊息，還會播放一段語音留言：

「Attention!Attention!Attention!」(注意！注意！注意！)

「Your documents, photos, databases and other important files have been encrypted!」(您的文件、照片、資料庫和其他重要檔案都已被加密！」

趨勢科技Cloud App Security和 Hosted Email Security 可藉由沙盒模擬分析技術在雲端偵測 Cerber 勒索病毒的最新品種該技術會在多個虛擬環境當中同時開啟其 Word 檔案，然後觀察檔案是否出現任何惡意

行為。趨勢科技 Cloud App Security 可經由程式開發介面 (API) 直接與 Office 365 整合，在 Office 365 內建的安全性之外提供額外的防護。這項服務已推出將近一年，共為 Office 365 的企業使用者額外偵測了 380 萬個惡意檔案和網址。繼續閱讀

為什麼勒索病毒一再得逞?其策略和作法不僅僅是加密

2016 年 06 月 28 日2016 年 06 月 28 日趨勢科技 TrendMicro

研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防遭到勒索病毒攻擊時能夠在短時間內回復重要檔案,這是個好方法嗎?

各行各業的大小企業要如何去準備對抗勒索病毒 Ransomware (勒索病毒/綁架病毒)攻擊？有一份最新的研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防真的遇到攻擊時能夠在短時間內回復重要檔案。雖然趨勢科技並不建議屈從於支付贖金，因為這無法保證能夠讓檔案救回，而且之後還可能容易被當成勒索病毒的攻擊目標，但我們也不能怪這些大型機構和企業會如此做。勒索病毒攻擊可能會中斷業務運作和生產力，並且會造成公司的信譽損害，這一切都是付款取得解密工具之外的損失。

為什麼勒索病毒仍然繼續?

為了避免成為勒索病毒的受害者，最好是能夠了解它如何運作以及它為什麼會成功。當然，社交工程誘餌和商業等級加密是讓勒索病毒攻擊成功的重大因素，但是除此之外，最近幾波的勒索病毒還採用了其他惡意軟體行為，雖然技術尚不完全成熟，但結合在一起時還是造成了更大的破壞，讓IT人員更加頭痛，也得花費更多時間和精力來解決問題。

試想一下，某公司接到消息稱他們的檔案連同最核心的資料都已經被加密，必須支付贖金才能夠取回，IT人員作了該做的事情，將網路切割並且將受感染系統從網路隔離，他接著試圖清理受感染電腦和回復檔案，但他遇到了一些挑戰。

舉例來說，勒索病毒家族常見的作法是會刪除陰影複製（Shadow Copy），這可以透過下列指令做到：

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

透過刪除陰影複製（Shadow Copy），它會移除檔案備份，讓你無法回復檔案，請注意，Windows 7和8作業系統加入了刪除陰影複製（Shadow Copy）功能；然而這在Windows 8使用者介面中看不到。CRYPWALL、Locky、CERBER和CRYPTESLA等變種會使用這種技術。

其他行為可以大致分類為：修改啟動程序、散播以及防偵測機制：

修改啟動程序

覆寫或抹除開機磁區（MBR）可能會導致系統無法啟動，這種功能會增加使用者進入安全模式來回復系統的難度，PETYA是具備此功能的一種勒索病毒，而MATSNU則會執行後門指令來抹除開機磁區及鎖住螢幕。

散播策略

因為勒索病毒使用了加密演算法，想要回復單一系統的檔案已經有難度了，更何況有些勒索病毒能夠透過外接式硬碟和網路共享來散播，讓其他重要資料也被加密。被稱為Zcryptor的勒索病毒（ZCRYPT加密勒索病毒）可以透過外接式硬碟及網路共享散播。繼續閱讀

這隻勒索病毒不僅會偷密碼，還會偷比特幣錢包

2016 年 06 月 27 日2016 年 06 月 27 日趨勢科技 TrendMicro

為了開發更多攻擊目標，同時提高受害者支付贖金的比率，勒索病毒 Ransomware (勒索軟體/綁架病毒)作者正試圖放棄原本熟悉的勒索病毒家族，開發出各種最新技巧的家族。

RAA 勒索病毒即是一例 (趨勢科技命名：RANSOM_JSRAA.A)，絕大多數的勒索病毒都是採取執行檔 (.exe、.dll) 的形態，但 RAA 卻是少數完全採用腳本 (script) 語言撰寫的勒索病毒，而且是採用瀏覽器專用的腳本語言。

根據趨勢科技的分析，此勒索病毒變種是以 JScript (而非 JavaScript) 所撰寫，這一點某些報導也曾經指出。(這兩種語言和 Java 一點關係也沒有，Microsoft 知識庫文章對這三者的分別有簡短的說明。) JScript這個腳本語言是專為 Windows 系統所設計，並由 Microsoft Internet Explorer (IE) 瀏覽器當中的 Windows Scripting Host 引擎負責執行，但它無法在新的 Edge 瀏覽器上執行。

也許駭客是希望能使用 JScript 來增加防毒軟體的偵測難度，因為他們可以更容易做出變形和混淆編碼的程式。

圖 1：RAA 的勒索訊息是以俄羅斯文撰寫，內容包含如何支付贖金 (0.39 比特幣，約合 250 美元) 以取得解開檔案的金鑰和軟體。

JScript 與 JavaScript 有些許類似，因為兩者都是從 ECMAScript 衍生而來，因此這幾個腳本語言多多少少有點「相通」。簡單來說，JScript 是 Microsoft 版本的 ECMAScript而 JavaScript 則是 Mozilla 版本的 ECMAScript，其中一個最大的差別在於 JScript 可以存取 IE 所開放出來的 ActiveX 物件及某些系統物件，如 WScript 物件。繼續閱讀