勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊

CryptoLocker,最新的勒索軟體 Ransomware變種,它最有名的就是會加密某些文件檔案,接著再提供300美元的解密工具,試圖迫使使用者付錢。在這篇文章裡,我們會討論它是如何出現和如何跟其他惡意軟體相連結,最明顯的是ZBOT/ZeuS。

勒索軟體CryptoLocker

 趨勢科技之前報導過,CryptoLocker勒索軟體 Ransomware不僅會讓人無法使用受感染的系統,也會加密某些文件檔案來強迫使用者購買300美元的解密工具。最近,我們注意到一起垃圾郵件(SPAM)攻擊活動,確認與CryptoLocker有關。這垃圾郵件所附帶的惡意檔案屬於TROJ_UPATRE,這是個以檔案小且具備下載功能著稱的惡意軟體家族。

利用趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料,我們搜尋CryptoLocker勒索軟體跟此下載程式相關連的資訊,發現一個電子郵件包含了惡意附件(偵測為TROJ_UPATRE.VNA):

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖一、帶有惡意附件的垃圾郵件截圖

 

一旦這個附件被執行,它會下載另一個檔案並儲存為cjkienn.exe(偵測為TSPY_ZBOT.VNA)。這惡意軟體會去下載真正的 CryptoLocker惡意軟體(偵測為TROJ_CRILOCK.NS)。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖二、CryptoLocker感染途徑

 

有幾個原因讓這威脅特別麻煩。首先,ZeuS/ZBOT變種已知的行為是會竊取網路銀行憑證的相關資訊。攻擊者可以利用竊取來的資訊來進行未經授權的銀行交易。此外,因為這個CryptoLocker勒索軟體 Ransomware,所以使用者無法存取自己的個人或重要文件。

 

關於CryptoLocker加密的注意事項

雖然CryptoLocker的贖金說明裡是說用「RSA -2048」來加密,但是經過趨勢科技的分析顯示,這惡意軟體是使用AES + RSA加密。

RSA是非對稱金鑰加密,這代表它使用兩把金鑰。一把金鑰用來對資料進行加密,另一把用來對資料進行解密。(對外公開的金鑰稱為公鑰;另一把由使用者自己保存的稱為私鑰)。AES使用對稱金鑰(即使用相同的金鑰來加密和解密資訊)。

這惡意軟體使用AES金鑰加密檔案。用來解密的AES金鑰寫在被惡意軟體加密的檔案內。然而,這把金鑰被惡意軟體內建的RSA公鑰所加密,表示需要另一把私鑰來加以解密。不幸的是,沒有這把私鑰。

關於有哪些檔案被加密,使用者可以檢查自己系統內的自動啟動註冊表。

勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖三、加密檔案列表可以在系統註冊表內看到

 

趨勢科技關於CryptoLocker的解決方案

趨勢科技的網頁信譽評比服務會去偵測動態產生網址。如果惡意軟體無法連上這些網址,它就無法接收公鑰,就可以防止惡意軟體加密檔案。此外,趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為。如果設定得當,它可以防止惡意軟體被執行。

趨勢科技基於行為偵測會監控CryptoLocker感染系統的行為 勒索軟體CryptoLocker跟網銀木馬 ZeuS/ZBOT 聯手出擊

圖四、趨勢科技偵測相關的惡意軟體

繼續閱讀

【 報名最後倒數 】一場華麗的雲端與大數據旅程~11月2日 星期六 14:00-17:00

想知道讓歐巴馬和IBM也為之瘋狂的大數據如何影響企業的策略嗎?藉由趨勢工程師的經驗分享,帶領大家一窺雲端計算與大數據的奧妙;以及趨勢科技與騰雲計算如何將雲端運算與大數據的技術運用在實際的專案規畫上。
  1. 雲端運算介紹
  2. 大數據背景介紹
  3. 雲端運算與大數據的技術概念與架構
  4. 趨勢科技應用實例
  5. 其他業界應用實例

林彥辰 Seele Lin趨勢科技研發部工程師為趨勢與騰雲運算TCloud在Hadoop管理者課程的專任講師,有豐富的授課經驗。

並於日前在美國取得美國hortonworks Hadoop admin (HCAHA),
Hadoop developer(HCAHD)專業講師認證,並在今年八月完成
Hortonworks Developer及 Hortonworks Administrator的課程,
正式成為 Hortonworks授權大中華地區講師。
除此之外,目前參與的專案亦與Hadoop相關,有豐富的開發測試經驗。

吸血鬼 殭屍和鬼魂…我的天!資安專家的萬聖節聯想

萬聖節快樂!準備被好好的嚇一跳了嗎?來看看我們最新的資料圖表 – 「最可怕的網路安全威脅」。透過將傳統可怕的萬聖節妖魔鬼怪跟所聯想到的網路威脅做比較,趨勢科技聰明的研究團隊創造出這令人毛骨悚然的藝術品

比方說,吸血鬼就好比是網路銀行木馬,會去「吸乾你帳戶裡的存款」。好萊塢恐怖電影裡的殭屍,就跟駭客所建立的殭屍大軍一樣 – 「非理性生物被殭屍電腦主人控制來進行自己的【邪惡】生意」。 “

「鬼魂」代表的是APT 目標攻擊,被設計成既看不到也聽不到。趨勢科技的研究人員指出,這類型的攻擊從開始入侵到被偵測到的平均時間已經在過去幾年間大幅地成長了。

 

萬聖節與病毒等惡意威脅成長趣味圖表

有些安全威脅真的非常嚇人。讓我們將一些可怕的萬聖節妖魔鬼怪跟所聯想到的網路威脅做比較:

網路銀行木馬好比吸血鬼,這些惡魔會吸乾你的帳戶

2013年第一季到第二季網銀木馬成長:30%

<網路危機>吸血鬼 殭屍和鬼魂…我的天!資安專家的萬聖節聯想

被控制的殭屍網路/傀儡網路 Botnet

這些非理性的生物被殭屍電腦主人所控制,用它們來為自己做事。他們竊取資料,使用電腦資源,並且從事其他惡意行為。

2013年上半年在殭屍網路/傀儡網路 Botnet和C&C伺服器之間所產生的連線數量達: 3千萬。

<網路危機>吸血鬼 殭屍和鬼魂…我的天!資安專家的萬聖節聯想

看不見的 APT 攻擊像是鬼魂般糾纏不清

這些APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊被設計成既看不見也聽不到;網路犯罪份子越來越擅長於在網路裡扮演鬼魂一樣的存在。從開始入侵到被偵測到的平均時間為 210 天,比2011年還要長上35天。

<網路危機>吸血鬼 殭屍和鬼魂…我的天!資安專家的萬聖節聯想

手機間諜軟體像是可以在黑夜中通行無阻的蝙蝠

手機間諜軟體,讓遠端的駭客可以看到和聽到行動設備周遭的動態…就像是蝙蝠在黑暗裡倒吊著,在夜裡發揮最大的功能。

個人電腦威脅突破一百萬大關的時間要 18年,而手機相關威脅不到5年

<網路危機>吸血鬼 殭屍和鬼魂…我的天!資安專家的萬聖節聯想

網路犯罪份子像是會施法的巫婆

就跟巫婆會施法改變東西一樣,網路犯罪分子擅於變裝改造惡意軟體,自動為每個受害者更動程式碼以盡可能地染指他們的系統。

在2013年第一季和第二季所確認的C&C伺服器達10000 +。

繼續閱讀

給父母的十個社群網路提示

 iskf

 

對於許多網路使用者來說,社群網路已經成為他們主要的網路活動。你的孩子很可能也在使用社群網路,而且程度比你所知道的更深。作為負責任的父母,我們需要知道孩子跟誰互動,並幫助他們在生活裡建立有意義的關係。但我們要如何幫他們和網路朋友也做到這一點呢?

底下是可以幫你引導你的小孩安全而積極地與社群網路互動的十個建議。

 

  1. 自己加入社群網路。如果你不知道社群網路是怎麼一回事,那麼是時候開始去瞭解了。其中一個最好的方法就是直接問你的孩子。

 

我因為我的小孩而對社群網路有興趣,現在我已經是個狂熱的使用者了。他們可以告訴你他們使用哪些服務,如何使用這些服務,甚至可以告訴你要如何去找到社群網路有用和有趣的地方。

 

你的孩子會感謝你對於他們所喜歡的事物感興趣,不管他們是否願意承認。

2.在你孩子所用的社群網路上與他們建立連結,並堅持他們加你好友。你會想知道你的孩子出門之後去了哪裡和做了些什麼?在社群網路上也是一樣。他們在網上所做的事情會影響到你和他們,不管是好是壞。

 

如果你跟你的孩子建立連結,你可以看到他們做些什麼,是否張貼和閱讀合適的內容,並且確保他們的社群網路交談是正常的。

3.教導你的孩子關於將個人資料公開的危險。當你將個人資料和意見放到網路上,這些資料就是會讓所有人看到,而且可以說是永久存在,無法移除。你所寫的東西以後可能會反咬你一口。

 

一般情況下,你和你的孩子不應該寫你們不會願意公開在其他人面前說的東西。任何人都可以從你的個人資料,和你在社群網站上所寫的東西來知道許多關於你的事情。如果你定期檢查像是Facebook臉書的地點功能,甚至可以找到在任何時間你可能會出現的地方。

4.確保你的孩子知道如何控制自己的社群網路隱私設定。當提到如何保護你的網路隱私時,預防甚於治療。如果你希望你的孩子限制自己所公開的個人資料,那麼他們就需要熟悉他們社群網路服務所提供的隱私控制選項。

繼續閱讀

史上最狠毒勒索軟體 Crypto Locker SHOTODOR: 一開郵件電腦就淪陷,限時3天內交付「贖金」300美元,才能重新啟動檔案

在趨勢科技的2013年安全預測中,我們認為網路犯罪份子會專注於改進現有工具,而非創造新威脅。有兩起威脅顯示了改進之前的已知威脅的確是有效的。

勒索軟體

Crypto Locker:最新一波的勒索軟體

 

除了利用贈品、競賽或是偽裝成知名品牌之外,網路犯罪分子的社交工程( Social Engineering)百寶箱內還有其他同樣有效的誘餌。這甚至包括徹頭徹尾的恐嚇或嚇唬使用者去購買假產品,交出自己的資料或金錢。這類的戰術很顯然是用在假防毒軟體之類的威脅,還有現在的勒索軟體 Ransomware

之前的勒索軟體用一種新型態出現,就是警察木馬。這類惡意軟體通常會封鎖對系統的存取,並出現偽造的執法單位通知訊息給使用者。指控使用者在網路上做出違法的事情,並要求支付罰金。

但是最近的勒索軟體變種(稱為Cryptolocker)會加密檔案,而不只是鎖住系統。這是為了確保使用者在惡意軟體被刪除後還是會願意付錢。最近的Cryptolocker(偵測為TROJ_CRILOCK.AE)會出現警告通知桌布。這警告通知使用者,即使他們從系統內刪除惡意軟體,加密過的文件將仍然無法使用。

勒索軟體

如果使用者不花費300美元(或是300歐元)來購買私鑰的話,這把可以解密文件檔案的私鑰就會被刪除。除了這個行為,這惡意軟體還出現跟其他已知的 cryptolock 變種相同的行為。

如何保持低調SHOTODOR

另一種讓攻擊成功的方式就是讓使用者,甚或是防毒軟體都不會發現。趨勢科技發現了BKDR_SHOTODOR.A,它會使用垃圾程式碼和隨機檔案名稱來將混淆伎倆提升到另一個新水平。(請注意,這次攻擊的幕後黑手和之前的完全不同。) 繼續閱讀