綁架病毒 - 資安趨勢部落格

勒索病毒:是你親手把檔案變成肉票!

2016 年 07 月 13 日2016 年 07 月 13 日趨勢科技 TrendMicro

那些看似尋常的網路行為,竟會讓自己成為檔案被加密的幕後推手?!

在看到勒索病毒加密訊息前,你到底做了什麼事?很多人費盡的回想,都找不到頭緒,以下四個案例可以說明那些看似尋常的網路行為,為何會讓自己成為檔案被加密的幕後推手。

案例一:「我只是偶爾上 FB,看新聞網站,早上一開機,檔案全被鎖住了」

近日台灣大量傳出災情的 CryptXXX(RANSOM_Waltrix)勒索病毒，主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的症狀。

我們一再提醒大家如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

案例二:「我沒有亂開網頁,印象裡有跳出一個程式說要更新,我按『確定』, 就中招了」

當你買保險時.你可能會逐字仔細閱讀,但在網路上按下”我確定”之前,你花多少時間確認? 根據趨勢科技的調查，有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意。

雖然我們一再提醒大家要適時更新作業系統和應用程式,但也得小心勒索病毒也會假冒官方發送假的更新通知。

案例三:「我打開一個看似發票通知的 word 附件,連網路硬碟都被加密了」

繼續閱讀

勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

2016 年 07 月 08 日2020 年 03 月 09 日趨勢科技 TrendMicro

為何使用者會自己動手啟用內嵌在惡意附件文件內的巨集?
為何 CryptoWall 偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信
為何勒索病毒發送的網路釣魚發信不用殭屍網路,而改用被駭郵件伺服器?
新聞網站,雲端服務如何成為勒索病毒散播溫床?
為何勒索病毒設定惡意網域存活期間僅一小時?

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

*並不創新的垃圾郵件做法:社交工程***

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。繼續閱讀

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

2016 年 07 月 06 日2016 年 06 月 30 日趨勢科技 TrendMicro

今年稍早，趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件，占該年所有漏洞攻擊套件活動的 59.5%，但如今卻完全銷聲匿跡。

有趣的是，就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後， Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂，但網路犯罪分子顯然並未受到影響，因為他們正忙著尋找新的漏洞攻擊套件來取代，Angler 之所以成為當時的首選，是因為它收錄新漏洞的速度最快，而且擁有許多躲避防毒軟體偵測的技巧，例如：將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後，趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加，但完全無法和 Angler 相提並論，顯然，之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1：漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒)，那麼 Angler 沉寂之後，是否會對勒索病毒造成影響？答案是：「不盡然」。今年三月，我們開始看到歹徒利用 Magnitude 漏洞攻擊套件散布 Cerber 勒索病毒，而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上，我們看到原本透過 Angler 散布的 CryptXXX現在也開始改用 Neutrino，而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件，也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞，Rig 曾經出現在近期的一波惡意廣告當中，受害者幾乎遍及 40 個國家，但主要目標為日本。

圖 2：Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)

Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣，主要攻擊日本地區，值得注意的是，並非所有前述攻擊都透過 Sundown 來散布勒索病毒。繼續閱讀

Cerber 勒索病毒鎖定 Office 365

2016 年 07 月 01 日2016 年 07 月 18 日趨勢科技 TrendMicro

專門鎖定 Office 365 使用者的 Cerber 勒索病毒 Ransomware (勒索軟體/綁架病毒)會暗藏在 Microsoft Word 巨集當中，因此傳統的資安技術很難加以偵測而且，就算使用者已被訓練成對執行檔或壓縮檔保持警戒，也很可能不小心開啟其 Word 檔案，尤其當人才招募主管看到一封假冒應徵者履歷的電子郵件時更容易上當。2015 年，趨勢科技已見到巨集惡意程式數量大幅攀升。

2015 年巨集惡意程式大幅增加。資料來源：TrendLabs 2015 年資訊安全總評

此次的 Cerber 巨集惡意程式是一種所謂的勒索病毒服務 (Ransomware-as-a-service，簡稱 RaaS)，正如同我們在 3 月 6 日的一篇文章所說，它專門服務俄羅斯地下市場有意從事網路犯罪的其他歹徒。它有一項特殊功能，不但會隨機顯示一段訊息，還會播放一段語音留言：

「Attention!Attention!Attention!」(注意！注意！注意！)

「Your documents, photos, databases and other important files have been encrypted!」(您的文件、照片、資料庫和其他重要檔案都已被加密！」

趨勢科技Cloud App Security和 Hosted Email Security 可藉由沙盒模擬分析技術在雲端偵測 Cerber 勒索病毒的最新品種該技術會在多個虛擬環境當中同時開啟其 Word 檔案，然後觀察檔案是否出現任何惡意

行為。趨勢科技 Cloud App Security 可經由程式開發介面 (API) 直接與 Office 365 整合，在 Office 365 內建的安全性之外提供額外的防護。這項服務已推出將近一年，共為 Office 365 的企業使用者額外偵測了 380 萬個惡意檔案和網址。繼續閱讀

這隻勒索病毒不僅會偷密碼，還會偷比特幣錢包

2016 年 06 月 27 日2016 年 06 月 27 日趨勢科技 TrendMicro

為了開發更多攻擊目標，同時提高受害者支付贖金的比率，勒索病毒 Ransomware (勒索軟體/綁架病毒)作者正試圖放棄原本熟悉的勒索病毒家族，開發出各種最新技巧的家族。

RAA 勒索病毒即是一例 (趨勢科技命名：RANSOM_JSRAA.A)，絕大多數的勒索病毒都是採取執行檔 (.exe、.dll) 的形態，但 RAA 卻是少數完全採用腳本 (script) 語言撰寫的勒索病毒，而且是採用瀏覽器專用的腳本語言。

根據趨勢科技的分析，此勒索病毒變種是以 JScript (而非 JavaScript) 所撰寫，這一點某些報導也曾經指出。(這兩種語言和 Java 一點關係也沒有，Microsoft 知識庫文章對這三者的分別有簡短的說明。) JScript這個腳本語言是專為 Windows 系統所設計，並由 Microsoft Internet Explorer (IE) 瀏覽器當中的 Windows Scripting Host 引擎負責執行，但它無法在新的 Edge 瀏覽器上執行。

也許駭客是希望能使用 JScript 來增加防毒軟體的偵測難度，因為他們可以更容易做出變形和混淆編碼的程式。

圖 1：RAA 的勒索訊息是以俄羅斯文撰寫，內容包含如何支付贖金 (0.39 比特幣，約合 250 美元) 以取得解開檔案的金鑰和軟體。

JScript 與 JavaScript 有些許類似，因為兩者都是從 ECMAScript 衍生而來，因此這幾個腳本語言多多少少有點「相通」。簡單來說，JScript 是 Microsoft 版本的 ECMAScript而 JavaScript 則是 Mozilla 版本的 ECMAScript，其中一個最大的差別在於 JScript 可以存取 IE 所開放出來的 ActiveX 物件及某些系統物件，如 WScript 物件。繼續閱讀