標籤: 勒索病毒

Reveton勒索軟體的下一代,CryptXXX出現  

趨勢科技 TrendMicro

 

 

最近有一波新的勒索病毒 Ransomware (勒索軟體/綁架病毒),自三月底開始爆發。Proofpoint的研究人員加上安全分析師Frank Ruiz所提供的情報,發現了一個被稱為「CryptXXX」的新勒索軟體,根據其描述,它與早期的勒索軟體Reveton有明顯的關聯。

這個勒索病毒 Ransomware是由BEDEP惡意軟體所散播,透過Angler漏洞攻擊套件來感染系統。研究人員在文章內描述「Angler漏洞攻擊套件結合BEDEP來散播勒索軟體和Dridex 222」。這代表放有Angler漏洞攻擊套件的網頁被用來散播CryptXXX。此攻擊套件接著利用系統漏洞來植入BEDEP。因為其「惡意軟體下載」能力,CryptXXX會以第二段感染的方式出現,它是會延遲執行的DLL程式,至少要等待62分鐘才會作用。一旦勒索病毒 Ransomware開始執行,它會加密檔案並加上.crypt副檔名。

 

[延伸閱讀:勒索病毒白皮書]

 

跟其他勒索軟題類似(特別是Locky勒索軟體TeslaCryptCryptowall),這個變種會產生三種類型的檔案(de_crypt_readme.bmp、de_crypt_readme.txt、de_crypt_readme.html)來通知受駭系統的使用者,要求贖金以取回檔案。據研究人員所說,勒索病毒 Ransomware要求很高的贖金,每個系統500美元,跟過去常見的勒索金額相差甚遠。此外,CryptXXX具備防虛擬機器和防分析能力以躲避偵測,它會檢查註冊表內的CPU名稱和安裝攔截程序(hook procedure)來監視滑鼠活動。

CryptXXX還被發現會竊取比特幣Bitcoin,同時還能在目標系統上掠取身分憑證和個人資料。趨勢科技的研究人員發現,它能夠從FTP、即時通和郵件應用程式中竊取資料。根據部落格文章,「這點是能夠預期的,因為BEDEP長久以來都會帶來資料竊取程式。具體地說,它在2014年11月至2015年12月中會帶來Pony。接著用一個無紀錄的「私有竊取程式」來取代Pony,一直持續到2016年3月中。我們相信勒索軟體內的資料竊取功能和BEDEP所散布的「私有竊取程式」內的一樣」。 繼續閱讀

勒索病毒竟知道你家地址?

趨勢科技 TrendMicro

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)近日大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊,要求他們點郵件中的連結列印發票,而這個連結會讓電腦感染勒索軟體 Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

勒索軟體竟知道你家地址?
勒索軟體竟知道你家地址?

郵件內容包含郵寄地址, 推測這些資料很可能來自一些外洩事件中失竊的資料庫

值得注意的一點是,網路釣魚(Phishing)郵件內容當中不僅寫出了收件人的姓名,還附上了受害人的地址。包含 BBC 的工作人員在內,都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資
勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資

 

【延伸閱讀” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團

 

出現警告訊息時,硬碟上有價值的檔案都已加密,過程不到幾秒宛若電腦版的搶劫

在 BBC 這篇報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料,因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示:「它的動作非常迅速,當畫面上出現警告訊息時,硬碟上有價值的檔案都已被加密,整個過程不到幾秒,就像是電腦版的搶劫,歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索軟體 Ransomware一樣,Maktub要求以比特幣(Bitcoin)支付贖金,而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣(Bitcoin)(約合 580 美元)提高到 1.9比特幣(Bitcoin)(約合 790 美元)。

Maktub勒索軟體贖金會隨著時間而遞增
Maktub勒索軟體贖金會隨著時間而遞增

趨勢科技表示,除了網路釣魚(Phishing),當使用者不小心連上惡意網站時也可能被暗中下載到系統上。這個勒索軟體 Ransomware會開啟它植入的文件檔:

Maktub勒索軟體 Ransomware會在檔案加密完成之後顯示視窗
Maktub勒索軟體 Ransomware會在檔案加密完成之後顯示視窗

繼續閱讀

零時差漏洞攻擊:Magnitude 漏洞攻擊套件收錄舊版 Adobe Flash Player 零時差漏洞 CVE-2016-1019

趨勢科技 TrendMicro

繼 2016 年 4 月 5 日發出 安全公告 之後,Adobe 隨即釋出了一份緊急更新來修補一個 Adobe Flash Player  漏洞 :CVE-2016-1019。趨勢科技已觀察到一些專門利用 Magnitude 漏洞攻擊套件的零時差攻擊,受影響的使用者包括 Flash 20.0.0.306 版以及更早版本的使用者。不過,這一波攻擊並不影響 Flash 21.0.0.182 及 21.0.0.197 版的使用者,因為 Adobe 已在 21.0.0.182 版當中導入了 Heap 記憶體保護機制,而 21.0.0.197 版理所當然承襲了這項功能。這兩個版本的使用者在遇到這項漏洞攻擊時只會發生 Adobe Flash 當掉的情況。

我們強烈建議所有使用者立即安裝最新的安全更新,因為目前這一波漏洞攻擊正在網路上流行。趨勢科技在 安全更新釋出之前,即發現上述漏洞攻擊套件收錄了這項漏洞,並且會讓電腦感染勒索軟體。

根據我們的分析,CVE-2016-1019 是一種所謂的「類型混淆漏洞」,該漏洞會影響  Flash 20.0.0.306 以及更早的版本。不過在遇到 Flash 21.0.0.182 及 21.0.0.197 版本時,僅會造成 Flash 當掉。Adobe 從 21.0.0.182 版本開始便加入了 Heap 記憶體保護措施。

 

圖 1:散布 Magnitude 漏洞攻擊套件的惡意網域。 

 

Magnitude 漏洞攻擊套件,全球流量分布,台灣排名第ㄧ

早在 2016 年 3 月 31 日,趨勢科技即經由我們 Smart Protection Network™ 的回報發現一項使用  Magnitude 漏洞攻擊套件 的零時差攻擊已經收錄了這項漏洞。這項攻擊會讓系統感染 Locky勒索軟體,這是一種將惡意程式碼暗藏在文件巨集當中的加密勒索軟體。根據報導,此惡意程式曾攻擊美國肯德基州一家基督教衛理公會醫院 (Methodist Hospital) 的電腦系統。

圖 2:Magnitude 漏洞攻擊套件全球流量分布,台灣排名第ㄧ(2016 年 3 月 31 日至 4 月 6 日)。 繼續閱讀

目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

趨勢科技 TrendMicro

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後,醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

醫院 醫療 醫生 醫師

根據 Cisco 旗下威脅情報中心 Talos 的發現,SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞,而非透過惡意廣告或惡意電子郵件社交工程(social engineering )技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布,並且利用這些伺服器來入侵更多電腦系統,進而搜尋電腦上的重要資料並加以加密,其主要攻擊目標為醫療產業。

[延伸閱讀:Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動,並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是,Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中,歹徒要求的贖金是每一台電腦1.5個比特幣(Bitcoin),或者是22個比特幣(Bitcoin)的代價清除所有受感染的電腦。

[延伸閱讀:勒索軟體如何運作]

 

FBI警告,SAMSAM 會「手動搜尋並刪除」備份檔案,逼迫受害企業就範

繼續閱讀

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

趨勢科技 TrendMicro

美國肯德基州亨德生市 (Henderson) 的基督教衛理公會醫院 (Methodist Hospital)網站首頁上一個紅色跑馬燈公告其網路已不幸遭到網路駭客入侵,該醫院被迫進入「內部緊急狀況」。公告上表示:「基督教衛理公會醫院目前正因電腦病毒入侵的關係而進入內部緊急狀態,網站上許多電子服務都無法使用。我們正努力解決這項問題,在恢復之前,網站服務和電子通訊將受到影響」。

醫院 醫療 醫生 手術室

該事件起因是某個勒索軟體 Ransomware 入侵了該醫院的電腦系統,挾持了醫院的檔案 (將檔案加密使其無法使用),並且向醫院勒索贖金。

[延伸閱讀:勒索軟體如何運作]

 

根據基督教衛理公會醫院資訊系統總監 Jamie Reid 的說法,該惡意程式屬於Locky 加密勒索軟體 Ransomware家族,此家族會將受感染系統上的重要檔案 (如文件和影像) 加密。受害者若想取回資料,就必須支付一筆贖金,不然就得看看未受感染的網路上是否有先前備份的資料。根據報導,駭客要求的贖金為 4 個比特幣(Bitcoin),相當於 1,600 美元。

今年二月下旬,研究人員曾發現 Locky 利用一個含有惡意巨集的 Word 檔案來入侵電腦系統。該勒索軟體 Ransomware是經由冒充寄送發票的電子郵件入侵受害者系統,郵件中挾帶一個含有惡意巨集的 Word 文件。基督教衛理公會醫院的案例正是如此,收件人也收到了惡意的電子郵件並開啟了惡意附件檔案。

[延伸閱讀:Locky:發現新型態加密勒索軟體]

醫院被迫所有作業流程都暫時改用紙本來處理

根據 Reid 的描述,此加密勒索軟體 Ransomware已從最初感染的電腦擴散至網路上的多部電腦。因此該醫院緊急將所有的桌上型電腦關機,並且逐一清查每部電腦是否遭到感染之後才讓電腦重新開機上線,在這套程序完成之前,所有作業流程都暫時改用紙本來處理。

該醫院的律師 David Park 表示:「我們幾年前就曾制定了一套周全的緊急應變體系,因此我們突然發現,當每個人都討論醫院的電腦出了狀況,或許我們應該將它當成風災來處理,因為我們基本上等於所有系統都已暫時關閉,然後再一部一部重新復原」。

然而這起事件之前不到一個月左右,另一家醫療機構才發生過類似的勒索軟體攻擊。2016 年 2 月,Hollywood Presbyterian Medical Center也曾經遭到同樣的手法攻擊,並造成了醫院營運癱瘓。該醫院最後支付了相當於 17,000 美元的比特幣當成贖金。

醫院員工的電子郵件帳號被駭客入侵,病患個資外洩

除此之外,駭客還有其他從醫療產業獲利的方法。根據報導,一家癌症治療機構21st Century Oncology Holdings前不久才發生資料外洩,共有約 200 萬名病患的資料外流。還有另一起獨立的案例是City of Hope研究醫療中心因遭到網路釣魚(Phishing)攻擊而導致某員工的電子郵件帳號被駭客入侵,竊取了一些病患姓名、病歷號碼、出生年月日、地址以及其他病患和醫療資訊。 繼續閱讀