綁架病毒 - 資安趨勢部落格

Cerber勒索病毒利用雲端平台,感染家庭用戶和企業

2016 年 08 月 03 日2016 年 11 月 07 日趨勢科技 TrendMicro

Cerber勒索病毒利用雲端平台來感染家庭用戶和企業，雖然這些平台跟桌面系統是同樣地安全，但鑑於CERBER的社交工程技倆,比如偽裝成收據或債務本票，建議使用者要停用Office程式的巨集功能，開啟未知或可疑寄件者的郵件附件檔時要謹慎小心，好的備份策略也可以有效的對抗勒索病毒

隨著雲端服務日漸被一般使用者採用，網路犯罪分子也同樣地想辦法來濫用它們，利用它們來散播惡意軟體。相對地，惡意分子也希望透過攻擊企業所採用的雲端生產力平台來將處理敏感企業資料的用戶變成受害者，當資料無法存取時就會對業務運作造成嚴重的影響。

一個典型的例子：CERBER勒索病毒 Ransomware (勒索軟體/綁架病毒)，它的最新變種被趨勢科技偵測為RANSOM_CERBER.CAD，被發現會針對微軟的雲端辦公室方案:Office 365的使用者，特別是家庭用戶和企業。

CERBER最新變種會產生四個勒贖通知：聲音版本勒贖通知的VBS檔案，打開預設瀏覽器連到付費網站的.url檔案，然後還有.html和.txt檔案（如上所示）。

Cerber 是少數利用電腦語音念出勒贖通知的勒索病毒

自從三月出現肆虐以來，CERBER勒索病毒家族也有所更新，加入了新功能，如分散式阻斷服務攻擊 (DDoS)攻擊及利用雙重壓縮Windows腳本檔案（WSF）來躲避啟發式分析並繞過垃圾郵件(SPAM)過濾程式。身為少數利用電腦語音念出勒贖通知的勒索病毒是它的獨特之處，它的原始碼甚至在俄羅斯地下市場內以勒索病毒即服務（Ransomware-as-a-Service）的商業模式交易，好讓網路犯罪運作賺更多的黑心錢。這惡意軟體主要透過惡意廣告活動加上Nuclear漏洞攻擊套件的攻擊組合來散播。

Cerber勒索病毒帶有惡意附件（此例中為Word範本檔案）偽裝成收據或債務本票的垃圾郵件樣本。

繼續閱讀

勒索病毒也爆山寨版? 涉嫌抄襲 CryptXXX 的CrypMIC

2016 年 08 月 02 日2016 年 08 月 02 日趨勢科技 TrendMicro

俗話說：「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族，似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹，希望藉此海撈一票。

圖 1：超級比一比：CrypMIC (左) 和 CryptXXX (右) 勒索訊息及付款網站。

CrypMIC 和 CryptXXX 有許多共通之處：兩者都是經由 Neutrino 漏洞攻擊套件來散布，並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] / UXXXXXX])，而其函式的命名也相同 (MS1、MS2)。此外，兩者也都採用了客製化通訊協定，經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。

然而進一步分析之後，我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如，CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱，這讓使用者更難分辨哪些檔案已遭到綁架。此外，兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序，並且會將此資訊回報給 C&C 伺服器。

下表比較兩者的異同之處：繼續閱讀

你相信搜尋引擎找到的都是真的?! 夾毒山寨網頁搶搜尋排名,當心勒索病毒「找」上門

2016 年 08 月 01 日2023 年 05 月 19 日趨勢科技 TrendMicro

連 Google 大神也可能找到假的,肉眼難以分辨,跟眼睛業障重沒關係！

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO /Balck SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

網頁的煙幕彈愈來愈多，誤點惡意網址台灣排名全球第三,使用者除擔心惡意程式透過不明郵件的附件檔散播外，還得當心瀏覽網頁誤觸勒索病毒 Ransomware (勒索軟體/綁架病毒)暗中埋設的地雷。這些被下毒的頁面，很難憑肉眼察覺，小編整理分享幾個案例,希望大家下次搜尋找網站時，不要心急狂亂點擊搜尋結果,最好不要與勒索病毒或是埋藏在網頁中的惡意程式打照面。

要「牛奶」，給「腥羶」-最平凡的字彙，竟有另人臉紅的搜尋結果

在網路上搜尋最平凡的詞彙卻產生令人不堪入目的結果，其中不僅充斥各類色情網頁，更有夾帶惡意程式的色情圖片在其中。趨勢科技發現不僅造訪賭博網站或成人網站會受到網頁威脅攻擊，輸入一般性查尋的詞彙，所出現的連結更有出現令人傻眼的內容，例如輸入「 milk（牛奶）」這個字眼，竟出現「 Sex（性）」、Porn（色情）」等兒童不宜字眼。一旦好奇點選，更有被潛藏其中的惡意程式入侵之危險。

2011 年四月這則新聞陸網友受不了！下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞認識Black SEO( 搜尋引擎毒化)。話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》（因為大陸沒上映），擋得住電影上演卻檔不住大陸網友在網路上熱搜，不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵，導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版？」不少消費者抱怨大公司維修客服態度差，價格又亂報，後來才發現網路上很多維修官網都是假的，許多知名家電公司有都有仿冒官網，導致消費者對於無辜的公司抱怨不斷。

山寨版 LINE,網友:超像的!

網友曾在 PTT 爆料說有朋友有在 Yahoo 輸入”LINE”,結果顯示的第一條關鍵字廣告看起來是真正的 LINE 官方網站網址：https://line.me/zh-hant/,但點進去卻會自動轉址到有兩字之差的 LINE 釣魚網站(“me”變成 “pm”)：hXXp://line.pm/zh-hant

盜 LINE 帳號山寨版網路釣魚網站出現在 YAHOO 關鍵字搜尋廣告 ,A 是釣魚網站

當心你的同情心招濫用,網路詐騙集團跟你一起用搜尋引擎關心災難新聞

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。
比如 2011 年日本大地震時,被害的網友點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。繼續閱讀

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

2016 年 07 月 27 日2016 年 08 月 03 日趨勢科技 TrendMicro

Zepto 是一個最近隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

根據 Cisco Talos 威脅情報中心的報告，這波挾帶勒索病毒的垃圾郵件行動從 6 月 27 日開始採用一套新的檔案命名方式 (「swift [XXX|XXXX].js」)，並且運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

【延伸閱讀:勒索病毒竟知道你家地址? 】

在某個二進位惡意程式下載並執行之後，本機上的所有檔案都會被加密，接著惡意程式會顯示一個訊息，要求受害者支付一定的比特幣（Bitcoin）作為贖金。使用者看到的指示畫面是由惡意程式在電腦上植入的一個 .HTML 檔案和一個影像檔案所組成，同時桌面背景/桌布也會被換掉。在大規模垃圾郵件行動的推波助瀾下，Zepto 似乎獲得了不錯的成果，不過大多數的勒索病毒都是經由其他管道散布。

與 Locky 的淵源

Zepto 與 Locky (趨勢科技命名為 RANSOM_LOCKY.A) 在技術上頗有相似之處，他們都是經由垃圾郵件散布，並且使用 RSA 加密來鎖住檔案。Locky 自從 2016 年 2 月現身以來，即不斷演進，並且成功擄獲不少個人及企業受害者，除此之外更曾經出現在多起針對醫療院所的重大勒索病毒攻擊。繼續閱讀