《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue漏洞,三步驟防範感染

有一波大規模的 Petya 勒索病毒變種四處肆虐當中,目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA,相比五月造成全球大恐慌的WannaCry勒索病毒,Petya 散播的管道主要有兩種:其一為同樣利用透過微軟的安全性弱點:MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊,而與上次WannaCry不同的是,本次 Petya入侵電腦後,會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。

 

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具,以「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染:

  1. 套用 MS17-010 修補更新
    無論是企業用戶或是消費者,都建議安裝更新電腦作業系統最新的修補程式,尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ,正確配置SMB服務才能免於受到此次攻擊影響。
  2. 停用 TCP 連接埠 445 ( 請參考)
  3. 企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外,趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能,目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅,一有最新情況就會立即更新訊息。

感染過程

前面提到,該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動,並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。 Continue reading “《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue漏洞,三步驟防範感染”

內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT

無檔案式威脅和勒索病毒 Ransomware (勒索軟體/綁架病毒)早已不是新聞,但若這兩種特性結合起來,將變得相當危險。前一陣子趨勢科技發現的 SOREBRECT 勒索病毒 (RANSOM_SOREBRECT.ARANSOM_SOREBRECT.B) 就是最好例子。

趨勢科技今年第二季初監控全球威脅情勢時首次發現 SOREBRECT 勒索病毒,經過擷取與分析樣本之後,我們發現 SOREBRECT 採用了一種特殊的技巧來執行檔案加密。此外,還有一個值得注意的地方是它使用了 PsExec 這個遠端執行工具。SOREBRECT 顯然是用這工具來執行勒索病毒的程式碼注射功能。

匿蹤是 SOREBRECT 最拿手的把戲

雖然 SOREBRECT 的最終目標依然是將系統上的檔案加密,但匿蹤卻是它最拿手的把戲。由於勒索病毒內建自我摧毀功能,因此可歸類為無檔案式病毒。它會先將自己的加密程式碼注射到某個正常的系統執行程序當中,然後再將自己的主程式終止。此外,SOREBRECT 還會大費周章刪除受害系統上的事件記錄檔 (Event Log) 和其他可供鑑識分析的資訊 (如系統上所執行過的檔案與時間,也就是系統的 appcompat/shimcacheprefetch),這樣的作法可避免留下可供分析軟體追蹤的活動痕跡。

我們在網路上首次發現 SOREBRECT 的樣本時,它的數量還算不多,而且大多集中在科威特、黎巴嫩等中東國家。但到了五月初,便開始在加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣以及美國發現 SOREBRECT 病毒的蹤跡,受害的產業包括製造、科技與電信業。有鑑於勒索病毒的潛在破壞力獲利能力,SOREBRECT 會出現在其他國家也就不足為奇,甚至滲透到網路犯罪地下網路,成為歹徒兜售的一種服務。

圖 1:SOREBRECT 攻擊過程。

程式碼注入系統執行程序之後就會銷毀檔案,採集病毒樣本成了挑戰

SOREBRECT 在攻擊過程當中運用了一個正常的 Windows 指令列工具叫「PsExec」,此工具可讓系統管理員在本地端執行指令或在遠端系統上執行某個執行檔。歹徒之所以能夠利用 PsExec 在電腦上安裝 SOREBRECT 病毒,顯然系統管理員的帳號密碼已經被歹徒掌握,或者遠端電腦已經被入侵,或者其密碼已遭暴力破解。SOREBRECT 並非第一個利用 PsExec 工具的勒索病毒,例如:SAMSAMPetya 及其衍生變種 PetrWrap (趨勢科技分別命名為 RANSOM_SAMSAM 和 RANSOM_PETYA) 也會利用 PsExec 在已遭入侵的伺服器或端點上安裝勒索病毒。

然而 SOREBRECT 的作法又更加高明,它會在系統上安裝 PsExec,然後將自己的程式碼注射到 Windows 的系統執行程序 svchost.exe當中,然後再將自己的主程式庫銷毀。這兩種能力的結合非常強大:勒索病毒主程式庫在執行完成之後將自我銷毀,但被注入 Windows 服務執行程序 svchost.exe 當中的程式碼卻能繼續執行檔案加密動作。由於 SOREBRECT 在將程式碼注入系統執行程序之後就會銷毀檔案,因此,採集該病毒的樣本變成了一項挑戰。 Continue reading “內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT”

南韓網站代管公司,遭 Erebus 勒索病毒襲擊, 153 台 Linux 伺服器遭到感染

6 月 10 日,南韓網站代管公司 NAYANA 遭 Erebus 勒索病毒襲擊 (趨勢科技命名為:RANSOM_ELFEREBUS.A),共有 153 台 Linux 伺服器與 3,400 個該公司代管的商業網站遭到感染。

NAYANA 公司 6 月 12 日在官網發布了一則公告,表示駭客要求 550 比特幣 (BTC) 的天價贖金 (約合 162 萬美元) 以解開所有伺服器上被加密的檔案。6 月 14 日,NAYANA 又發布新的消息表示和歹徒討價還價之後同意支付 397.6 比特幣 (約合 101 萬美元:根據 2017 年 6 月 19 日匯率),並且約定分期付款。 6 月 17 日,NAYANA 的官網又發布一則聲明表示已經匯出第二期款項。到了 6 月 18 日,NAYANA 開始分批復原受害伺服器。但某些第二批復原的伺服器卻出現了資料庫錯誤的情況。預料在第一和第二批伺服器成功復原之後,該公司將再支付第三期贖金。

這不禁讓人聯想到當年美國堪薩斯醫院 (Kansas Hospital) 的受害案例 (儘管贖金無法相提並論)。不過堪薩斯醫院的情況更悲慘,因為該院在付了贖金之後還是沒有救回被加密的檔案,反而又再被勒索了一次。

Erebus 勒索病毒最早是在 2016 年 9 月經由惡意廣告感染,2017 年 2 月又再度現身,並且運用了一個可避開 Windows 使用者帳戶控制的伎倆,以下是有關 Linux 版本 Erebus 勒索病毒目前發現到的一些技術細節。

 Erebus 的勒索訊息有多國語言版本 (本圖為英文版本)。
圖 1:Erebus 的勒索訊息有多國語言版本 (本圖為英文版本)。

Continue reading “南韓網站代管公司,遭 Erebus 勒索病毒襲擊, 153 台 Linux 伺服器遭到感染”

Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?

6 月 10 日,南韓網站代管公司 NAYANA  遭到最新的 襲擊,勒索病毒 Ransomware (勒索軟體/綁架病毒)共有 153 台 Linux 伺服器 感染 Linux 版 Erebus 勒索病毒 (趨勢科技命名為 RANSOM_ELFEREBUS.A),這項攻擊導致該公司的 3,400 家代管服務客戶的企業網站、資料庫與多媒體檔案遭到加密。

根據 NAYANA 官網上所發布的最新 消息,駭客顯然已成功逼迫該公司支付贖金,並且約定分三階段付款以取得所有檔案的解密金鑰。不過本文截稿為止,NAYANA 還未取得第一階段的解密金鑰。

[延伸閱讀: 近三成企業重複感染加密勒索病毒,透漏什麼訊息?]

Erebus 從原本利用漏洞攻擊套件演化成可避開使用者帳戶控制

Erebus 勒索病毒 (RANSOM_EREBUS.A) 首次現身於 2016 年 9 月,當時是經由惡意廣告散布。這些惡意廣告會將受害者重導至含有 Rig 漏洞攻擊套件的網站,該套件會在受害者的電腦上植入勒索病毒。這個 Erebus 變種可加密的檔案類型有 423 種,採用 RSA-2048 加密演算法,被加密的檔案會多了一個「.ecrypt」副檔名。此版本的 Erebus 是利用南韓境內已遭入侵的網站來當成幕後操縱 (C&C) 伺服器。

2017 年 2 月,Erebus 又重新演化出新的版本與手法,這一次,它使用了一種可以避開 Windows 電腦「使用者帳戶控制 (UAC)」機制的技巧,以便可以用管理員權限來執行勒索病毒。Erebus 會在勒索訊息當中威脅受害者必須在 96 小時內支付 0.085 比特幣 (依 2017 年 6 月 15 日的匯率約合 216 美元) 的贖金,否則將刪除受害者被加密的檔案。此版本的 Erebus 病毒 (RANSOM_EREBUS.TOR) 還會刪除系統還原點來防止受害者還原系統。

[延伸閱讀: 從技術面分析具備程式碼注射與網路共用資料夾加密能力的 SOREBRECT 無檔案式勒索病毒。]

Erebus 勒索病毒現在可感染伺服器

NAYANA 公司的伺服器所感染的是移植到 Linux 平台的 Erebus 勒索病毒版本。根據趨勢科技的持續分析顯示,此變種採用非重複的 AES 金鑰來加密檔案,而 AES 金鑰再用 RSA 演算法加密。它甚至內含一個假的藍牙服務來確保即使系統或伺服器重新開機也會再自動執行。此外,更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。如同 NAYANA 的案例,剛開始它所要求的贖金為 10 比特幣 (約 24,689 美元),但後來贖金降到了 5 比特幣 (約 12,344 美元)。

此版本的 Erebus 病毒可加密 433 種檔案類型,包括以下幾種: Continue reading “Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?”

預防下一波勒索病毒攻擊, 3 步驟即刻啟動 PC-cillin 2017 「勒索剋星 」給檔案最嚴密防護!

預防下一波勒索病毒攻擊! PC-cillin 2017 「勒索剋星」給檔案最嚴密防護

勒索剋星保護您的珍貴檔案

勒索病毒 Ransomware (勒索軟體/綁架病毒)不斷變種!擔心工作檔案、珍貴照片再也喚不回?PC-cillin 2017創新勒索剋星,給您重要檔案最嚴密防護!只要選取要保護的資料夾,「勒索剋星」便會保護資料夾內的檔案不受到勒索病毒的攻擊。一旦有可疑程式企圖加密受到保護的檔案時,「勒索剋星」會立即警告您,保護您最珍貴的檔案!

如何啟動勒索剋星?

小建議:

  • 可將「受保護資料夾」設定為常用資料夾,如我的文件或C槽
  • 完成設定後,勒索剋星就能保護此資料夾及子資料夾內所有檔案
  • 勒索剋星只能選定一個資料夾進行保護,方便用戶統一管理

完成設定!勒索病毒通通Out!

更多PC-cillin 2017雲端版防護功能

若有任何問題,請撥打趨勢科技客服專線:02-23783666

 

街頭打擊罪犯交給蜘蛛人;擊退網路惡勢力唯有PC-cillin 2017雲端版! 趨勢科技邀請您看蜘蛛人! 快來留言 》免費下載試用獨享加碼抽週邊商品
街頭打擊罪犯交給蜘蛛人;擊退網路惡勢力唯有PC-cillin 2017雲端版! 趨勢科技邀請您看蜘蛛人! 快來留言》PC-cillin 用戶獨享加碼抽




《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

《資安漫畫》系統漏洞是什麼? 為何要更新修補程式?

 

才一年的時間,勒索病毒家族的數量就大幅成長 752%

早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。

馬上更新修補程式,不要再拖了 !

Continue reading “《資安漫畫》系統漏洞是什麼? 為何要更新修補程式?”

企業如何對抗頑強的 CERBER 勒索病毒變種?

勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗,出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底,Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導,CERBER在2017年的市場佔有率達到70%,並且在第一季末上升至90%。相較之下,Locky在2017年第一季只剩下2%的佔有率。

 CERBER已經展現其躲避安全軟體偵測的成功,為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具,不過趨勢科技也站在解決這些問題的最前端。事實上,趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅,了解如何防範新變種及解決目前漏洞變得相當重要。

CERBER的快速變形讓其躲避偵測

就跟大多數惡意軟體一樣,CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時,程式會在背景被偷偷下載,開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱;微軟指出它也會選擇感染的資料夾。比方說,CERBER會避開系統資料夾,但會加密共享網路及本機磁碟上,進而讓感染擴散。

 

CERBER還經常進行升級,以「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年,伺服器每15秒鐘改變一次CERBER,每次都產生新的哈希(Hash)。根據SecurityWeek,解決方案需要偵測這些哈希(Hash)來識別惡意軟體,但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。  Continue reading “企業如何對抗頑強的 CERBER 勒索病毒變種?”

< 5月勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks

 

由於 WannaCry(想哭)勒索病毒/勒索蠕蟲的大規模散播,讓勒索病毒在五月成為全世界的焦點。從最初的攻擊之後,我們又看到了 UIWIXAdylkuzz 和最近的 EternalRocks 都在使用相同的核心漏洞。

三種威脅間的共同點是MS17-010以及 Shadow Brokers 所披露的工具和漏洞。這些威脅不僅攻擊了系統上的漏洞,還充分地利用了企業在修補程式管理和系統升級上所面臨的根本難題。讓我們來看看它們所造成的影響,並思考一下為什麼這些威脅會發生。

但首先,我們來快速比較一下WannaCry、UIWIX和EternalRocks: Continue reading “< 5月勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks”

小心假 WannaCry(想哭)勒索病毒趁火打劫 !跳出中毒視窗,撥打技術支援電話,12500元台幣飛了!

小心假 WannaCry(想哭)勒索病毒/勒索蠕蟲趁火打劫 !英國警方接獲通報一名用戶在上網時電腦忽然跳出感染 WannaCry 勒索病毒警告視窗,且無法關閉。受害者不疑有他撥打電話視窗上假冒微軟技術支援的電話,並被騙取320英鎊(約12500元台幣)安裝「惡意軟體移除工具」。
這並不是第一起利用 WannaCry趁火打劫的案例,英國警方也在之前發出 WannaCry詐騙警告,提醒用戶別開啟聲稱來自英國電信的強化用戶帳號安全性的郵件,該網路釣魚信附上假的WannaCry清除工具連結,誘使用戶付費下載。

這就是所謂的技術支援詐騙,歹徒以「假裝提供協助」的方式來誘騙受害者。這類詐騙會佯稱受害者的電腦遭駭客入侵,並主動提供服務來協助受害者解決問題。通常都是假裝成大公司,如微軟的技術支援人員,並向受害者索取信用卡卡號與個人資訊。根據一個詐騙案例的受害者描述,他的畫面被鎖住而不能動。不僅瀏覽器畫面遭到凍結,鍵盤也失效,受害者必須撥打畫面上顯示的電話號碼。當受害者撥電話過去,詐騙者就會親切地提供支援來協助您解決這個問題,但會向受害者索取信用卡卡號與個人資訊。

類似這樣的事件時有所聞,之前有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。類似的案例還有:

保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

 

 

                    PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!

 

 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:

 

同場加映:防範技術支援詐騙 5 秘訣

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣:

  1. 請記住,真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此,小心那些不請自來的電話。假若您必須聯絡技術支援人員,請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
  2. 若您的螢幕已經被鎖住,然後畫面出現一個惡意廣告,千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面,請聯絡您的 IT 部門。
  3. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦,請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事,而非接電話的第一線人員。
  4. 若您已經上當,請盡快採取行動。若您已經把信用卡資料給了對方,請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取,請馬上變更您的電腦登入密碼。
  5. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝,切記隨時保持防毒軟體更新。唯有保持更新,才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

《延伸閱讀》
Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招