綁架病毒 - 資安趨勢部落格

電子郵件和網頁閘道：防禦勒索病毒的第一道防線

2016 年 06 月 14 日2016 年 06 月 04 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)正迅速成為世界各地IT部門的災難問題，它在過去的12到24個月間已經從一個小騷擾變成了主要的威脅 – 造成業務中斷，傷害無數組織的品牌及聲譽。想阻止這種新的惡意軟體威脅並沒有萬靈丹，不過，花時間佈署多層次防護再加上其他預防措施，就可以讓你有更好的機會減少被感染的風險。

多層次防護應該從電子郵件和網頁閘道開始，也就是趨勢科技Deep Discovery進階網路安全防護，InterScan Web Security和Cloud App Security for Office 365。

保護你的使用者

為什麼是閘道？因為在閘道上進行攔截可以保護你組織內最脆弱的部分 – 你的使用者，儘管勒索軟體作者開始想辦法攻擊IT環境的不同部分 – 包括伺服器和網路，但是大多數攻擊仍然是透過電子郵件和網頁而來，可能是一封惡意郵件附件檔或是連上具有「Drive by download」路過式下載攻擊的網址，任何用來誘使你組織內最脆弱環節犯錯的攻擊手法。

趨勢科技自2015年十月到2016年四月間所攔截的9,900萬次勒索軟體威脅中，有99%是在閘道所攔截 – 惡意電子郵件或網頁連結，在這階段攔截，你的使用者就連不小心點入的風險都不會有。

從這裡開始防禦

趨勢科技提供全面性的防護功能能夠在電子郵件和網頁閘道攔截勒索軟體威脅。繼續閱讀

勒索病毒出現俠盜羅賓漢？CryptMix 承諾會將所得捐給慈善機構

2016 年 06 月 08 日2018 年 12 月 25 日趨勢科技 TrendMicro

研究人員最近發現了一個以「慈善」為訴求的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種。儘管該變種與之前的勒索軟體在運作上大同小異，但歹徒促使受害者支付贖金的方式卻有顯著差異：他們承諾會將贖金捐給兒童慈善機構。

根據一則部落格，這個名為「CryptMix」的新變種，其散布方式與傳統勒索軟體無異：垃圾郵件和「Drive by download」路過式下載。CryptMix 一旦進入受害電腦，就會將 862 種以上的檔案類型加密，並且在檔名最後加上「.CODE」為附檔名。此外，歹徒也要求一大筆贖金：5 比特幣（Bitcoin）(約為 2,200 美元)，遠超過以往所見的金額。

[延伸閱讀：認識 Cryptolocker 等勒索軟體/病毒(綁架病毒) ,該如何預防？(內有資料圖表)]

此勒索軟體的訊息是以不太流利的英文撰寫，並且署名為「Charity Team」(慈善小組)：「您的錢將花在兒童慈善機構，這意味著『您』也將參與這項義行，許多兒童將因而收到禮物和醫療協助！」

然而，若受害者不在 24 小時內支付贖金以取得檔案解密金鑰，到時贖金將自動加倍，讓受害者備感壓力。勒索訊息還寫道：「我們相信您是位善良正直的人，非常感謝您！祝您一切順利！您的名字將登上善心名冊，並且在慈善史上留名！」 繼續閱讀

勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情！透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招!

2016 年 06 月 07 日2016 年 06 月 14 日趨勢科技 TrendMicro

近期 RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳，感染案件遽增的原因是駭客透過惡意廣告發動攻擊，此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及常在 Facebook 臉書上被分享的一些內容農場網站文章之後，開始出現感染勒索病毒的情況，建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。

勒索病毒簡介
勒索病毒 Ransomware (勒索軟體/綁架病毒)是一種特殊的惡意軟體，受害者會失去對自己系統或資料的控制權（例如無法使用作業系統或是檔案被加密），如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒：將電腦裡的檔案加密，並且要求支付贖金。

感染勒索病毒後果
目前最流行的勒索病毒種類為加密型勒索病毒：將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話，遭到加密的檔案幾乎沒有辦法解密。
近來的一種勒索病毒還會限制付款時間，隨著螢幕上的紅色倒數計時，時間過越久就刪除越多檔案，贖金金額也會跟著提高，增加受害的的心理負擔。（詳情可參考：奪魂鋸勒索軟體JIGSAW）

近期感染勒索病毒（RANSOM_Waltrix or CryptXXX）災情嚴重主因 :惡意廣告
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳，感染案件遽增的原因是駭客透過惡意廣告發動攻擊，所謂惡意廣告是駭客偽裝成廣告主，將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒，尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞，若使用者電腦沒有更新修補程式，只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的情況，建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少，遭受攻擊的軟體種類必會愈來愈多防不勝防，因此趨勢科技提醒您，請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

這篇報導:網頁廣告成勒索軟體散播溫床，紐約時報、BBC、MSN 皆中招,文中指出”攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索軟體 Ransomware。

惡意廣告並非新的產物；它是已經存在了十多年的犯罪手法。早在 2004年，就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情，它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間，許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

使用者經常會看到一些眼花撩亂 (甚至令人討厭) 的廣告，尤其當您必須先關閉這些廣告才能看到您要的影片或文章時，更覺得困擾。但這些網路廣告卻不光只是惱人而已，網路犯罪集團會經由這類廣告來散布惡意程式，進而感染瀏覽器和電腦。這就是所謂的「惡意廣告」，它們專門利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

繼續閱讀

CryptXXX會取代TeslaCrypt成為勒索病毒主流嗎？

2016 年 06 月 01 日2016 年 06 月 01 日趨勢科技 TrendMicro

TeslaCrypt告別勒索病毒 Ransomware (勒索軟體/綁架病毒)圈已經在網路犯罪世界掀起了波瀾。壞蛋們紛紛加入，希望在TeslaCrypt所留下的空缺裡分一杯羹。而和這起事件相呼應的是，眾多消息指出勒索軟體界新強者的出現：CryptXXX。

CryptXXX（偵測為RANSOM_WALTRIX.C）一直都有在進行更新；其中一次是在讓受害者可以不用付贖金的免費解密工具出現之後。它不僅會加密檔案，最新的CryptXXX變種還會鎖住螢幕，讓使用者無法進入桌面。

抵達媒介

CryptXXX的散播是經由帶有Angler漏洞攻擊套件的受入侵網站和惡意廣告。

圖1、利用Angler漏洞攻擊套件的CryptXXX感染媒介

一旦使用者瀏覽了受入侵網站或是惡意廣告，就會被BEDEP惡意軟體變種植入CryptXXX。一旦它進入系統，它會先檢查自己是否執行在虛擬環境。如果偵測到，就會將自己停掉。

讓CryptXXX很難被阻止的原因是它還會執行一個看門狗（watchdog）程式。CryptXXX會同時進行兩個動作；一個是加密，另外一個是偵測異常的系統行為。當看門狗（watchdog）偵測到異常系統行為就會停止加密程序，再重新啟動加密程序。這會導致將惡意軟體停止，而看門狗（watchdog）會重新啟動惡意軟體的一個循環。

圖2、CryptXXX同時執行的兩個svchost.exe程序

繼續閱讀

中了勒索病毒怎麼辦?該不該付贖金? (內有免費解密工具 )

2016 年 05 月 26 日2020 年 03 月 09 日趨勢科技 TrendMicro

近來勒索病毒驚傳變種，透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰！ |
PC-cillin 雲端版“勒索剋星”可防範 WanaCry 等勒索病毒，保護珍貴檔案，防止電腦被綁架，快為您的電腦做好防護！
防範勒索病毒 PC-cillin 用戶請至這裡點選”免費體驗”即可免費升級至最新版本

台灣受駭創新高付錢不能保證檔案能取回

在臺灣有受駭案例，付錢後卻沒有救回檔案，甚至加碼更高的贖金,所以沒有人能夠保證付錢之後檔案可以救回來。支付贖金不僅是一種賭注,更會助長勒索病毒持續氾濫。何況付了款，不一定就能拿到解密金鑰。

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,有粉絲在趨勢科技粉絲頁留言:

這並不是個案,無獨有偶的是有網友在論壇上求助,說想利用假日在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索病毒 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。