磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金

磁碟加密勒索病毒HDDCryptor的變種(趨勢科技偵測為RANSOM_HDDCRYPTOR.AUSE據報在巴西和沙烏地阿拉伯感染了許多受害者。它跟2016年11月攻擊舊金山市政交通局(SFMTA)的磁碟加密惡意軟體是同一個家族,當時迫使公共交通系統手動分配路線,並打開票閘以防止運作停擺。

HDDCryptor(也被稱為Mamba)在去年9月首次出現。它可以加密透過SMB分享的網路資源,包括網路磁碟、資料夾、檔案、印表機和序列埠。它惡意使用一些免費軟體、開放原始碼軟體和商用軟體來搞亂磁碟及掛載的SMB磁碟,並且用修改過的開機引導程式(bootloader)覆寫主開機記錄(MBR),進而鎖住受感染電腦的硬碟。受感染系統重新啟動後會顯示勒贖通知而非正常的登入畫面。

[延伸閱讀:勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟 ]

 

它的感染載體讓人聯想到其他家族(如CrysisErebus Linux勒索病毒),會利用漏洞攻擊來在植入並執行惡意軟體前先取得管理員權限。到了11月下旬,HDDCryptor更新使用了更加精簡的加密程序及防沙箱和反除錯功能,更能夠去躲避防毒和其他偵測技術。

[延伸閱讀:<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播]

 

HDDCryptor修改受感染系統的MBR以顯示勒贖通知

 

開放原始碼磁碟加密軟體DiskCryptor的憑證和簽章,它是被HDDCryptor利用的工具之一 Continue reading “磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金”

 “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 Continue reading ” “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看”

” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “

勒索病毒 Ransomware (勒索軟體/綁架病毒)之所以會如猖狂,心理因素占很大原因。電腦或手機上的重要檔案遭到加密,對受害者來說壓力相當大,尤其會擔心:萬一不付錢檔案就救不回來,該怎麼辦?

最新勒索病毒總整理

  • Slocker: 整合了中國知名社群網站 QQ 以及原本的螢幕鎖定與檔案加密功能
  • LeakerLocker 手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資
  • Cerber 再進化: 竊取比特幣等三種數位貨幣錢包
  • Demon: 勒索訊息長得和「WannaCry」的勒索訊息很像

 

Slocker的勒索訊息大大地寫著:錢來了!還自問自答地為被駭者解惑

SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒散布的管道大多經由 QQ 群和 BBS 系統之類的網路論壇散播。

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

最新的變種其中文簡體字勒索訊息寫著:

發生了什麼?

你的文件被我加密了,解密的話帯好錢來聯繫我喔!

除了付款有其破解方法嗎?

幾乎是沒有的,除非找我付款解密

圖 :SLocker 的勒索訊息畫面。

 

此變種與其第一代變種有些差別,尤其是程式開發方式。最主要的差異在於歹徒這次採用了 Android 整合開發環境  AIDE 來撰寫,這樣可以讓其他想要從事網路勒索的駭客更容易開發屬於自己的 SLocker 變種。不過該病毒卻有些缺陷,而且檔案加密能力有點粗糙,例如,它會加密一些非必要的檔案,如:系統暫存檔案、快取檔案、系統紀錄檔案等等。

但儘管如此,它還是結合了檔案加密與螢幕鎖定雙重功能,所以對受害者來說還是具備雙重威脅。

《延伸閱讀》假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

「LeakerLocker」最新手機勒索病毒,不鎖檔案,威脅公布簡訊、照片、FB 訊息等 8 項個資

最近出現了一個名為「LeakerLocker」的最新手機勒索病毒 (趨勢科技命名為 ANDROIDOS_LEAKERLOCKER.HRX),可說更令人聞之色變。因為它並非威脅要刪除或加密檔案,而是蒐集手機上的個人資訊,然後威脅將這些資訊發送給受害者通訊錄中的每一個人。

LeakerLocker 主要是經由 Google Play 商店感染 Android 手機。趨勢科技已在 Google Play 商店當中發現三個感染該病毒的應用程式:「Wallpapers Blur HD」(散景桌布程式)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Call Recorder」(電話錄音程式),不過這些程式目前都已被 Google 下架。

:Call Recorder 應用程式。

根據趨勢科技對 Call Recorder 應用程式的分析顯示,LeakerLocker 一旦下載並安裝到裝置上,就會立即開始蒐集手機上的個人資訊。它蒐集的資訊包括:聯絡人、電話號碼及相片,同時會威脅受害者若不付錢,就要將這些資料公開,我們從另一個含有該病毒的應用程式勒索畫面就可看到這些訊息: Continue reading “” 錢來了! ” 簡體版 Slocker 勒索病毒狂妄的說:”帯好錢來聯繫我 “”

勒索病毒盛行年代,企業的四個防護對策 

Despite efforts on the part of enterprises to educate staff and enhance their ability to prevent infection, ransomware attacks still persist.勒索病毒 Ransomware (勒索軟體/綁架病毒)無疑是企業最懼怕的威脅之一,企業組織擁有眾多的數位化資料、重要應用程式和其他系統,這些關鍵資產一旦存取中斷,將迅速對造成災難。

儘管企業努力教育員工,提升人員預防感染的能力,但勒索病毒攻擊仍層出不窮。值此時刻,企業不只要迅速應對當下的威脅,也要對未來的防護有所對策。

勒索病毒:簡史

根據趨勢科技的調查白皮書「勒索病毒的過去、現在及未來」(Ransomware: Past, Present and Future) 指出,第一個勒索病毒樣本出現在 2000 年代中期,自此成為網路犯罪社群最主要的勒索工具。許多早期出現的勒索病毒運作方式跟現在剛發現的新樣本類似,在滲透受害者的系統後,對重要的檔案和資料進行加密,除了擁有解密金鑰的駭客以外,任何人均無法存取。接著攻擊者會要求贖金,通常是用無法追蹤的比特幣交付,以安全贖回檔案。

攻擊的後果大不相同:有些組織支付贖金後,檔案便解密且恢復存取。有些受害者則沒這麼好運,就算支付了贖金,也永遠拿不回遭竊的資料。

勒索病毒在 2005 與 2006 年時主要以俄羅斯的受害者為攻擊目標,直到 2012 年才擴散到其他歐洲國家。當時的攻擊者小心掩飾其蹤跡,要求透過 paysafecard 和 MoneyPak 等付款方式來交付贖金,以藏匿其惡意活動。

根據趨勢科技的調查,有些早期的勒索病毒攻擊多是為了惡作劇,利用仿真的假冒警告來說服使用者交付贖金。其他樣本則使用真正的螢幕鎖,讓使用者無法跳脫通知視窗。

 

勒索病毒家族成長達到驚人的 752%

752% 增加率: 2015 年發現 29 個不同的勒索病毒家族,到 2016 年暴增到 247 個,增幅達到驚人的 752%。

Ransomware has seen a meteoric rise.

2013 年「crypto-ransomware」現身,包括最新惡名昭彰的 CryptoLocker。這些感染變得極度危險,除了加密資料,阻擋存取,這些樣本甚至還能在未交付贖金但超過截止期後刪除加密的檔案。

網路罪犯針對未備份資料的大型企業進行攻擊,最高獲利贖金高達 10 億美元 Continue reading “勒索病毒盛行年代,企業的四個防護對策 “

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月,我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月,現在又出現了新的演化版本,而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。

勒索病毒廣闢財源

然而整體上,這波 Cerber 病毒是經由電子郵件附檔散布:

圖 1:Cerber 勒索病毒的電子郵件。

這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式,它會從網路上下載 Cerber 的變種,也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同,只不過多了一項新的行為,那就是竊取比特幣(Bitcoin)錢包。

其鎖定竊取的比特幣錢包有三種:第一種是比特幣官方的 Bitcoin Core 錢包,另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案:

  • dat (Bitcoin)
  • *.wallet (Multibit)
  • dat (Electrum)

此處有兩點值得注意。第一,竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二,Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。

在檔案加密「之前」,先偷儲存在瀏覽器上的密碼

不過,新的 Cerber 變種所竊取的資訊還不只這些,它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。 Continue reading “在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃”

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知,勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker),然而,最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。除此之外,我們也在 Google Play 商店上發現一些名稱相似的應用程式,雖然我們仍不確定它們與前述惡意程式有何關聯,但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

 我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下:

 A quick glance at LeakerLocker reveals the following infection vector:

Figure 1

Figure 1: LeakerLocker infection diagram

圖 1:LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載,在本文發布時,該應用程式已經遭到下架,而我們也早已將前述應用程式通報給 Google。

Figure 2

圖 2:Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大,惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

Figure 3

圖 3:檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

Continue reading “LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資”

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 Continue reading “ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒”

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

繼淘寶上出現「高仿版」的WannaCry 病毒,售價10 人民幣之後,上個月稍早,趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為:ANDROIDOS_SLOCKER.OPST),其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年之後,突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒 。

不過,雖然這個 SLocker 變種可將手機上的檔案加密,但卻沒有肆虐多久。因為,就在該病毒的詳細手法被公開之後,不久便出現針對該病毒的解密工具,為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天,一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播),因此受害者數量非常稀少。

圖 1:此勒索病毒相關的時間點。

 

趨勢科技最早取得的樣本是假冒成《王者榮耀》遊戲的作弊程式,叫做「王者荣耀辅助」。在安裝之後,其畫面長得很像 WannaCry 病毒,但這已經不是第一次該病毒出現仿冒者

第一個模仿 WannaCry 的手機勒索病毒

圖 2:第一個模仿 WannaCry 的手機勒索病毒。

Continue reading “假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶”

勒索病毒裝萌,彩虹小馬 ( My Little Pony )不加密檔案,但跟你要 300 比特幣

三隻不要錢的勒索病毒後,趨勢科技又發現兩隻特異獨行的 勒索病毒 Ransomware,一個是不會綁架檔案,但會裝萌要錢的「My Little Pony (彩虹小馬)」;另一個是不會跟你要贖金,但會一直出現貓咪圖案的勒索訊息,告訴你已經被感染。

My Little Pony (彩虹小馬)」吵著要 300 比特幣

Virus 勒索病毒 (趨勢科技命名為 Ransom_UCRAZY.A) 是一個不會加密檔案的勒索病毒。它只會不斷顯示惱人的訊息視窗,其勒索訊息使用了「My Little Pony (彩虹小馬)」卡通當中的一個角色,其要求的贖金為 300 比特幣,但該病毒並未以檔案為要脅。

Virus 勒索病毒是一個不會加密檔案的勒索病毒。它只會不斷顯示惱人的訊息視窗,其勒索訊息使用了「My Little Pony (彩虹小馬)」卡通當中的一個角色,其要求的贖金為 300 比特幣 (但該病毒並未以檔案為要脅)。
Virus 勒索病毒是一個不會加密檔案的勒索病毒。它只會不斷顯示惱人的訊息視窗,其勒索訊息使用了「My Little Pony (彩虹小馬)」卡通當中的一個角色,其要求的贖金為 300 比特幣 (但該病毒並未以檔案為要脅)。

 

CryptoSpider 勒索病毒派貓咪來發送中毒通知,但竟沒有要贖金

Continue reading “勒索病毒裝萌,彩虹小馬 ( My Little Pony )不加密檔案,但跟你要 300 比特幣”

勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密

 

 某企業超過一百台的伺服器被勒索病毒加密

勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊頻傳,災情遍佈各地,在各資安防護廠商積極防禦勒索病毒之時,惡意攻擊者也更上一層樓,發展出新的攻擊手法。日前趨勢科技發現一波勒索病毒攻擊事件,攻擊目標是一般企業,其中某間遭駭的公司超過一百台的伺服器被勒索病毒加密,檔案遭到加密後的副檔名為「.Pr0tect」。趨勢科技產品可偵測此頗勒索病毒為 RANSOM_SOREBRECT.A 和 RANSOM_SOREBRECT.B 。

SOREBRECT起初僅存在於中東地區的黎巴嫩及科威特等等國家,但漸漸地擴散出去,加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣、美國都能夠見到其蹤跡。

▍ 延伸閱讀:內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT ▍

APT 攻擊手法:先取得管理者權限的帳號密碼資訊,再進行內網擴散

這起勒索病毒攻擊事件採用完全不同的新攻擊手法。以往受害者多是收到惡意電子郵件,或是瀏覽受駭網站或惡意廣告,遭到附加其中的勒索病毒攻擊,而這一起攻擊事件是駭客從外部入侵,取得內網具管理者權限的帳號密碼等機敏資訊,並進行內網擴散活動,將重要伺服器上的檔案加密,攻擊結束後它會刪除系統上的事件記錄(Event Log)和其他相關資訊,並且使用TOR洋蔥路由器來隱藏其通訊,使得資安部門無法有效調查攻擊事件。

 

Continue reading “勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密”