資安趨勢部落格 – 第 624 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

勒索病毒找下線! Chimera :「要乖乖付錢還是一起駭人賺黑心錢 ? 」

2015 年 12 月 11 日2017 年 06 月 08 日趨勢科技 TrendMicro

要當受害者還是業務夥伴？

這是加密勒索軟體 Chimera (Ransom_CRYPCHIM.A) 給您的難題。乍看之下，這個惡意程式如同一般典型的加密勒索軟體 Ransomware。然而，Chimera 在三方面有其獨特之處。

網路勒索

威脅將資料公開：Chimera 不僅將檔案加密，還會威脅受害人若不支付贖金就將檔案公布在網路上。這是我們第一次見到加密勒索軟體威脅要公開被加密的資料。

ng
圖 1：此惡意程式的勒索訊息有兩種版本：德文和英文。

當然，威脅將資料公開可以提高受害者付款的機率。畢竟，使用者只要有備份檔案就不怕資料被歹徒加密。但若資料遭到外流，恐怕就不是那麼容易解決。

根據趨勢科技分析顯示，儘管歹徒威脅將資料公開，但此惡意程式卻缺乏將檔案傳送至幕後操縱 (C&C) 伺服器的能力。它唯一傳送至 C&C 伺服器的資訊只有它產生的受害者識別碼 (ID)、比特幣（Bitcoin）位址和私密金鑰。

合作計畫

在勒索訊息當中，歹徒還對受害者提出了另一項提案。訊息的最下方邀請使用者加入他們的合作計畫，至於詳細內容，則記載在他們的原始程式碼當中。這項計畫很顯然是針對有技術背景的人。

圖 2：邀請受害者參加合作計畫。

趨勢科技解譯後的程式碼當中確實看到一個可讓有興趣的人和歹徒連絡的位址。這是一個比特幣位址，受害者可利用比特信 (Bitmessage) 來傳送點對點加密訊息給歹徒，此通訊協定可保障收發兩端的私密性。

圖 3：原始程式碼當中的訊息。

贖金支付

受害者該如何支付贖金給歹徒？

歹徒在勒索訊息當中指示受害者去下載一套解密軟體。下載之後，該軟體首先會搜尋系統上被加密的檔案和勒索訊息，以找出受害者的比特幣位址。

接著就會顯示付款指示訊息，如下所示：

圖 4：進一步的付款指示。

此外，解密軟體當中還包含了 BitMessage 比特信傳送軟體。一旦付款確認之後，歹徒就會發送一封內含受害者識別碼和解密金鑰的比特信，讓解密軟體用來確認受害者並進行解密作業。

勒索軟體服務（Ransomware-as-a-Service,RaaS）

惡意程式作者竟然會敞開大門招募合作夥伴？這看來似乎有點違反常理。畢竟，誰會想要將利潤和別人分享？

不過，推銷勒索軟體 Ransomware服務 (RaaS) 確實有其效益。RaaS 可減少非法活動被人追蹤至源頭的可能性。此外，將勒索軟體 Ransomware當成服務來販售，勒索軟體的作者便不需冒著被追查的龐大風險，就能獲得一定的利潤。而且 Chimera 提供了 50% 的抽成，算是小小的付出就能獲得相當的報酬。

不過，若相較於其他勒索軟體 (如：CryptoWall 和 TeslaCrypt)，我們發現 RaaS 並不夠精密。有時甚至連整個營運都還沒完全起步就已經遭到破獲。其程式碼缺乏任何編碼，因此研究和調查人員只需比對特殊字串就能偵測這類威脅。有些 RaaS 缺乏良好的 C&C 基礎架構或者並未善加利用 Tor2Web，僅靠著一個可下載的 Tor 執行檔來進行通訊。

是否該支付贖金？

Chimera 的手法對勒索軟體來說或許是新的花招，但仍不出我們對 2016 年的預測，也就是網路勒索必將崛起。我們提到，未來網路勒索集團將會想出更多新的方法來針對個別受害者的心理，讓每一次的攻擊變得更「個人化」，不論其目標是特定使用者或是某家企業。名譽就是一切，因此能夠威脅個人或企業名譽的攻擊，不但非常有效，而且最重要的，非常有利可圖。而將受害者的個人檔案公開在網路上，顯然是歸類在破壞個人名譽的手法當中。

或許，向歹徒妥協並支付贖金是較為容易的作法，但誰也無法保證網路犯罪集團會遵守約定。要確保自己不怕遇到勒索軟體，我們呼籲您應該謹守 3-2-1 原則來定期備份自己的檔案。

相關檔案雜湊值：

806a8b0edee835c0ff1bb566a3cb92586354fec9
8b91f3c4f721cb04cc4974fc91056f397ae78faa
a039ae3f86f31a569966a94ad45dbe7e87f118ad

原文出處：Chimera Crypto-Ransomware Wants You [As the New Recruit])|作者：Anthony Joe Melgarejo (威脅回應工程師)

【延伸閱讀】
認識 Cryptolocker 等勒索軟體/病毒(綁架病毒) ,該如何預防？

一位公司員工在辦公室查看一下自己的信箱，看到一封看似重要訊息的郵件，因此就點了裡面的連結。隨即，畫面上閃爍著一段勒索訊息表示系統及系統上的所有檔案都已被鎖住。該員工必須在 72 小時之內支付贖金來解開這部電腦，不然檔案將永遠無法挽回。

加密勒索軟體/綁架病毒鼻祖CryptoLocker — 勒索軟體 CryptoLocker 出現簡中版

PC-cillin 2016雲端版已有增加對勒贖軟體加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮》

從兒童玩具製造商 VTech 資料外洩事件學到什麼教訓 ?

2015 年 12 月 10 日2015 年 12 月 10 日趨勢科技 TrendMicro

由不明網路犯罪集團所造成的 VTech 資料外洩事件目前案情正持續升高。就在一連串報導指出此次事件洩漏了客戶的個人身分識別資料之後 (儘管 VTech 的聲明不這麼認為)，駭客又公布了一些 VTech 客戶的私人訊息和照片來證明這是一次近乎全面的資料外洩。

VTech 也是網路犯罪受害者，不過，眼前更迫切的問題是使用其產品的家長和兒童後續將面臨的危險。但 VTech 一開始的回應卻沒讓這問題獲得改善，反而變得更糟。還好過去 24 小時之內他們已經有所調整，在資訊公開方面更為坦然。

讓我們從這次事件當中學到教訓。站在防禦的一方，您可以採取下列作法來提升您企業處理資料外洩事件的能力。

開誠布公

您現在就得先想好一套資料外洩發生之後的對外通訊計畫。當您在處理資料外洩事件時，您需要一套明確清楚且合乎當下情況的應變計畫。

以下摘要列出您可能會用到的一些項目：

一封開誠布公的電子郵件 (給您的客戶)，內容包括：
- 清楚交代被偷的資料細節。
- 提供一位聯絡窗口，這位聯絡窗口必須完全掌握整個情況，並且隨時準備回答任何疑問 (例如您對客戶的補救措施為何)。
- 一句誠懇的道歉。
- 未來相關通訊時間表。
一份媒體新聞稿，內容包括：
- 清楚交代被偷的資料細節。
- 說明您已採取什麼行動來通知客戶。
- 提供一位可對外說明並提供進一步資訊的媒體聯絡窗口。
一份公開坦誠的說明 (給您的利害關係人)，內容包括：
- 清楚交代被偷的資料細節。
- 說明目前已知的資料外洩發生經過。
- 說明您已採取的應變措施。
- 針對未來您有何打算。
- 目前是誰在負責統籌所有對外通訊。
一個用來整合所有資訊的公開網址 (例如常見問答集)
- 一有最新發展，內容就應立即更新。
- 將此網址當成所有人的第一參考來源。
- 別將網址藏在企業網站的某個角落，確定使用者一到您的網站就能清楚看見。

繼續閱讀

真有其事還是虛張聲勢？Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上

2015 年 12 月 09 日2015 年 12 月 25 日趨勢科技 TrendMicro

一個名為 Chimera 的最新加密勒索軟體 Ransomware(勒索病毒/綁架病毒)變種自 9 月以來便陸續在德國發動多次攻擊。根據報導，該勒索軟體 Ransomware除了會將受害者的資料加密之外，還在勒索訊息當中表示若受害者不支付贖金，就會將資料公布在網路上。

加密勒索軟體 Ransomware的運作方式是將電腦上的檔案加密，然後向受害者勒索一筆贖金來取得解密金鑰。如果 Chimera 這個變種真的會像它所宣稱的那麼做，那麼它應該會將電腦上的檔案傳送至遠端來提高它的勒索籌碼。請注意，這裡的重點是「如果」它真的會這麼做。

[延伸閱讀：勒索軟體：是什麼？如何預防？(Ransomware: what it is and how you can protect yourself)]

根據報導，Chimera 會假裝成求職或商業提案的電子郵件來進入企業，這是很常見的社交工程技巧。電子郵件當中提供了一個 Dropbox 資料夾連結，宣稱裡面可提供進一步資訊。一旦收件人點選該連結，就會下載一個木馬程式並馬上開始將電腦上的檔案加密，所有被加密的檔案副檔名會變成「.crypt」，不但本機上的檔案會受害，就連網路磁碟上的檔案也無法倖免。歹徒要求的贖金是 2.45 個比特幣 (Bitcoin)，目前大約相當於 694 美元或 630 歐元。繼續閱讀

《小廣和小明的資安大小事》老頭子,別想害我的手機變成人質！

2015 年 12 月 09 日2016 年 01 月 13 日趨勢科技 TrendMicro

要求付費的警示標語可能是感染勒索軟體或假防毒軟體！

在使用電腦或智慧型手機時突然出現「您的電腦已被封鎖。請您支付罰款」等等的警示標語您會如何處理呢？若是出現這樣的訊息，有可能是中了利用用戶的恐懼心來詐取使用者的金錢或資料的病毒。

勒索軟體/勒索病毒/綁架病毒 CTB Locker — 勒索軟體 CTB Locker

繼續閱讀

兒童玩具製造商 VTech ,520萬家長及兒童個資檔案外洩

2015 年 12 月 08 日2015 年 12 月 10 日趨勢科技 TrendMicro

認識 VTech 資料外洩所帶來的風險

在感恩節期間，兒童電子玩具製造商 VTech 出面證實該公司發生了一起資料外洩事件，全球約有將近 500 萬名家長和 20 萬名兒童因而受到影響。

根據最新的報告顯示，外洩的資料當中包含了家長的姓名和住址、兒童的姓名和年齡，以及影片、照片、音訊檔案和聊天記錄。一項獨立分析指出，駭客有可能從這些失竊的資料當中拼湊出照片、影片、音訊、聊天記錄與其對應的兒童、家長和居住地址。

最壞的情況是，這些資料可能讓駭客建立一套完整的兒童檔案，包括：姓名、年齡、家長姓名、居住地址，並且從聊天記錄當中取得一些只有兒童信賴的大人才知道的訊息，例如兒童最喜歡的玩具以及兄弟姊妹姓名。

就目前看來，這樣的情況尚未發生，因為造成此次外洩事件的駭客表示他們會好好保管這批資料，並且不會將它出售。此外，在我們所監控的一些地下市場上也還看不到這批資料的蹤影，但情況隨時可能轉變。

家長該做些什麼

若您的小孩也是 VTech 產品的使用者，那麼敬請關注這事件的後續發展，隨時留意 VTech 官方網站是否有任何最新消息。截至目前為止，VTech 尚未提供太多相關資訊，但隨著調查進一步發展，隨時可能會有最新訊息發布。除此之外，也請小心提防歹徒對您和您的孩子發動網路釣魚攻擊。您可採用一套資安軟體 (例如趨勢科技PC-cillin雲端版) 來保護您的系統和裝置免於網路釣魚攻擊。繼續閱讀