勒索軟體攻擊從個人電腦轉到網站

趨勢科技 TrendMicro

2月13日,英國心理諮商及心理治療協會(BACP)網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。

alert 病毒警訊

這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼,會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是,會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話​。

安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites,並且在他的發現中分享:「一旦開發者(攻擊者)可以存取一個網站,他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後,上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是,如果網站不是使用PHP,CTB-Locker for Websites將無法作用。

從首篇報導的勒索軟體 Ransomware事件中,難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本,發現迄今至少有102個網站被感染。 繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

趨勢科技 TrendMicro
勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人
勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦,骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊,此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件PCC2016_1Y3U_TW box,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

 

 

 

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得,光是將檔案加密還不足以逼迫使用者,因此,現在他們又開發了一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面
圖 1:感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

 

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為,但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向 下載履歷表的]Dropbox連結,求指者的照片是盜用的

研究人員指出,Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件,信件內含一個指向 Dropbox 雲端空間的連結,可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中,此連結指向一個 Dropbox 資料夾,內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,我們發現該照片應該是從網路上盜來的圖片。

Dropbox 資料夾內的假履歷表的照片是網路上偷來的
圖 2:Dropbox 資料夾內的假履歷表的照片是網路上偷來的

繼續閱讀

《資安新聞週報》電子書環保?比紙本耗能200倍 /萬物皆可駭的時代,想要自保必學這三招/汽車也被駭? 美FBI建議自保措施

趨勢科技 TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

電子書環保?比紙本耗能200倍 自由時報電子報

張明正看AlphaGo:台灣得趕上人工智慧潮流,這比鴻海買夏普還重要100倍!  數位時代

溫哥華黑客賽 中國隊11秒破Chrome  世界新聞網

香港電腦遭勒贖病毒入侵案例日多  中國廣播公司全球資訊網

「匿名者」駭川普手機!要反對者打爆電話  中時電子報網

匿名者」再宣戰:網路世界剷除IS  台灣蘋果日報網

iPhone解鎖案 道出蘋果與官方的糾結歷史  電子時報

士可殺不可辱!FBI 若硬要開後門, Apple 工程師打算辭職  數位時代

蘋果不幫FBI 引爆IPHONE解鎖競賽 資安公司與駭客想一舉成名  工商時報

蘋果iPhone解鎖爭議,FBI:已找到他人協助破解iPhone  iThome

蘋果為隱私槓上政府 民調:未博得好感  中央社即時新聞網

FBI怎解嫌犯iPhone 有這四種可能  台灣蘋果日報網

華府邀矽谷共謀反恐大業 科技巨擘難抗拒  電子時報

1世代哈利 肉腳噴虎威  台灣蘋果日報

專訪趨勢科技資深協理張裕敏:萬物皆可駭的時代,想要自保必學這三招  關鍵評論網

【Meet IoT Salon#06】從資安、設計、到行銷,物聯網浪潮將席捲各領域  數位時代

中華電信揭露臺灣20大惡意程式:Ramnit蠕蟲最兇單日攻擊3萬件  iThome

只要225美元的無線電波接收器,就可以在沒有鑰匙前提下偷走24款汽車,連BMW、Toyota都受害  HiNet

【台灣英文新聞】駭客恐「駭」命!車輛資通安全在美受關注  台灣蘋果日報網

汽車也被駭? 美FBI建議自保措施  台灣蘋果日報網 繼續閱讀

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

趨勢科技 TrendMicro

美國肯德基州亨德生市 (Henderson) 的基督教衛理公會醫院 (Methodist Hospital)網站首頁上一個紅色跑馬燈公告其網路已不幸遭到網路駭客入侵,該醫院被迫進入「內部緊急狀況」。公告上表示:「基督教衛理公會醫院目前正因電腦病毒入侵的關係而進入內部緊急狀態,網站上許多電子服務都無法使用。我們正努力解決這項問題,在恢復之前,網站服務和電子通訊將受到影響」。

醫院 醫療 醫生 手術室

該事件起因是某個勒索軟體 Ransomware 入侵了該醫院的電腦系統,挾持了醫院的檔案 (將檔案加密使其無法使用),並且向醫院勒索贖金。

[延伸閱讀:勒索軟體如何運作]

 

根據基督教衛理公會醫院資訊系統總監 Jamie Reid 的說法,該惡意程式屬於Locky 加密勒索軟體 Ransomware家族,此家族會將受感染系統上的重要檔案 (如文件和影像) 加密。受害者若想取回資料,就必須支付一筆贖金,不然就得看看未受感染的網路上是否有先前備份的資料。根據報導,駭客要求的贖金為 4 個比特幣(Bitcoin),相當於 1,600 美元。

今年二月下旬,研究人員曾發現 Locky 利用一個含有惡意巨集的 Word 檔案來入侵電腦系統。該勒索軟體 Ransomware是經由冒充寄送發票的電子郵件入侵受害者系統,郵件中挾帶一個含有惡意巨集的 Word 文件。基督教衛理公會醫院的案例正是如此,收件人也收到了惡意的電子郵件並開啟了惡意附件檔案。

[延伸閱讀:Locky:發現新型態加密勒索軟體]

醫院被迫所有作業流程都暫時改用紙本來處理

根據 Reid 的描述,此加密勒索軟體 Ransomware已從最初感染的電腦擴散至網路上的多部電腦。因此該醫院緊急將所有的桌上型電腦關機,並且逐一清查每部電腦是否遭到感染之後才讓電腦重新開機上線,在這套程序完成之前,所有作業流程都暫時改用紙本來處理。

該醫院的律師 David Park 表示:「我們幾年前就曾制定了一套周全的緊急應變體系,因此我們突然發現,當每個人都討論醫院的電腦出了狀況,或許我們應該將它當成風災來處理,因為我們基本上等於所有系統都已暫時關閉,然後再一部一部重新復原」。

然而這起事件之前不到一個月左右,另一家醫療機構才發生過類似的勒索軟體攻擊。2016 年 2 月,Hollywood Presbyterian Medical Center也曾經遭到同樣的手法攻擊,並造成了醫院營運癱瘓。該醫院最後支付了相當於 17,000 美元的比特幣當成贖金。

醫院員工的電子郵件帳號被駭客入侵,病患個資外洩

除此之外,駭客還有其他從醫療產業獲利的方法。根據報導,一家癌症治療機構21st Century Oncology Holdings前不久才發生資料外洩,共有約 200 萬名病患的資料外流。還有另一起獨立的案例是City of Hope研究醫療中心因遭到網路釣魚(Phishing)攻擊而導致某員工的電子郵件帳號被駭客入侵,竊取了一些病患姓名、病歷號碼、出生年月日、地址以及其他病患和醫療資訊。 繼續閱讀

勒索病毒,連警察局長辦公室也淪陷

趨勢科技 TrendMicro
警長辦公室硬碟遭到加密! 因為有人不小心從共用網路上下載了勒索病毒。猜猜看以下哪個是正確的 ?____
1.警察逮捕了歹徒
2.歹徒主動交出解密金鑰
3.警察竟付了贖金
4.FBI 追查並逮捕到歹徒

 

「你們的檔案都已被我加密,如果真的在乎這些數據,那麼建議你們別浪費寶貴時間,尋找不存在的解決方案」。在連續五天努力都未能解密之後,受害者無奈支付了數百美金贖金給勒索病毒 Ransomware 犯罪份子,而受害對象是警察。

本文末列舉的是 2015 年四月的例子,但這並非唯一的一個勒索病毒 Ransomware 挑戰執法單位的案例:

  • 麻薩諸塞州 Swansea警察局在2013年支付了750美元贖金
  • 伊利諾州 Midlothian警察局2015年支付了500美元
  • 田納西州迪克森郡(Dickson County)治安官辦公室2015年支付了572美元。
  • 阿拉巴馬州柯林斯維爾(Collinsville警察局在 2015 年6 月被襲, ,導致罪犯照片資料庫被加密鎖定。駭客要求500美元贖金,但這家小鎮警局拒絕支付,而是放棄被綁架的檔案資料

加密勒索病毒看準警察局缺少IT專業人士,一再挑戰執法單位

犯罪份子鎖定美國小鎮警局,主要是看準他們人手不多,缺少IT專業人士,警察為了讓自己的工作儘快恢復正常的情況下,只能無奈選擇支付贖金。

今日的惡意程式和以往已大不相同。過去,使用者只需一套防毒軟體,或者依序執行某些步驟就能清除惡意程式的檔案和副作用,但今日的勒索病毒 Ransomware 可沒這麼好應付。勒索軟體是專為鎖住系統或某些檔案然後向使用者勒贖而設計,因此可說是場賭注:不是歹徒拿錢走人,就是受害者承受檔案全毀的代價。

勒索軟體 手銬 犯罪

雖然早期的勒索軟體變種 (尤其是那些單純只將電腦畫面鎖住的變種) 可以透過勒索軟體反制工具來解決,但一些較新的變種可就沒這麼容易對付。事實上,會將電腦系統鎖住「並且」將某些檔案加密的加密勒索軟體,可說是駭客的一招「死棋」,使用者一旦中招,立刻就陷入兩難的抉擇。

[延伸影片:勒索軟體如何運作:從感染到勒索]

沒有解密金鑰,就算勒索病毒 Ransomware被清除了,被加密的檔案還是救不回來

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)採用了現代化的加密技術,這些原本為了保護資料及通訊安全而發展出來的加密技術,會使用特殊的演算法來將檔案重新編碼,因此唯有擁有解密金鑰的人才能開啟或閱讀檔案內容。 繼續閱讀