勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌

“ 我只是追劇而已,整個電腦檔案全被加密,都打不開了! "  繼去年連假傳出網友因追劇而中 Cerber 勒索病毒後,NETIX.A 勒索病毒也盯上追劇族!

想要趁連假免費追劇的網友請注意,勒索病毒已經把觸角伸入專門提供破解版應用程式或付費網站服務帳號密碼的網站,包含去年剛登台的知名線上影音服務 Netflix 。

病毒先以顯示帳號密碼產生視窗當幌子,背後卻悄悄地將39 種類型的檔案加密,歹徒利用的只是一個永遠無解的漏洞,那就是貪小便宜的心理。

2016 年席捲最多臉書版面的日劇,當屬由新垣結衣、星野源主演的日劇《月薪嬌妻》,韓劇《Signa》、《太陽的後裔》、《Doctors》、《雲畫的月光》、《藍色海洋的傳說》、《鬼怪》,則是去年超夯韓劇 。今年由「氧氣美女」李英愛與男神宋承憲主演的《師任堂,光的日記》,你開始追了嗎? 趨勢科技曾在情人節做過一項調查, ”如果情人節這天只剩網路與你同在",多數人選擇《網路追劇》度過漫漫長夜! 接下來的連假,不管你身邊是否有伴,是否也把追劇當成假日計劃之一?

提醒您別遇到這樣掃興的事:

有粉絲在趨勢科技粉絲頁留言:“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

CERBER 第一隻台灣網友傳出因追劇而中的勒索病毒

去年也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 !

Cerber 病毒並沒有銷聲匿跡,近日有許多網友在臉書上求救的幾乎都是 Cerber,一堆"覺得悲傷"哭哭的表情符號"疫"發不可收拾。😭😭😭

還有網友自我解嘲說:

“我發誓! 我真的只有看《師任堂》,難道是李英愛傳染給我的?"

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁就會中毒。

另外,駭客也可能將夾帶勒索病毒的壓縮檔放在非官方的影片下載網站上,除了養成平時備份檔案的習慣,使用防毒軟體 可以未雨綢繆,避免檔案成肉票。

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 NETIX.A 勒索病毒也愛追劇? 想觀賞免錢的 Netflix 節目,請三思而後行

提供網路隨選串流影片的公司Netflix 擁有超過  9,300 萬訂閱收視戶,涵蓋 190 多個國家,因此,被網路犯罪集團盯上並不意外。歹徒犯罪的手法包括竊取 帳號密碼拿到地下市場販賣、攻擊漏洞 ,或是近期出現的:讓系統感染專門竊取使用者金融帳號和個人資訊的木馬程式。

除此之外,Netflix 帳號密碼還可以當成歹徒與其他網路犯罪者討價還價的籌碼。或者更糟的是,用來引誘某些使用者安裝惡意程式,從中賺取利潤。若您正打算觀賞免錢的 Netflix 節目,請三思而後行,您電腦上的檔案很可能因而遭到挾持。 Continue reading “勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌"

TorrentLocker 勒索病毒,利用Dropbox來躲避偵測/裝萌的勒索訊息,使用Python程式語言

 

一隻名為TorrentLocker勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測,雖然該勒索病毒的行為跟之前並沒有太大不同,但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程(social engineering )技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案(實際上是勒索病毒檔案)。

 

 

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意,在二月底出現了PyL33t(趨勢科技偵測為Ransom_PYLEET.A)和Pickles(趨勢科技偵測為Ransom_CRYPPYT.A)。

網路文化對PyL33t勒索病毒產生了重大影響,像是其勒贖通知使用Comics Sans這種似手寫的字體字體,使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上,它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

 

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦,它會加密檔案並用.EnCrYpTeD副檔名重新命名,將桌面改成上述訊息,並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知,內文要求1比特幣的昂貴贖金(約1,200美元)。解密程式也跟勒索病毒一起植入電腦;但想解密檔案需要密碼。

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…

 

今年二月初,趨勢科技曾經提過 針對非 Windows 系統的勒索病毒將開始崛起 ,最近出現的 Patcher (趨勢科技命名為:OSX_CRYPPATCHER.A) 正是一個專挑 MacOS 作業系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)

[相關文章:專挑類 UNIX 系統的勒索病毒將帶來什麼改變]

Patcher 是 經由 bittorrent 檔案下載散布,它會偽裝成  Microsoft Office 和 Adobe Premiere Pro 等熱門軟體的修補程式。一旦下載之後,資料夾顯示的應用程式圖示上有「Patcher」字樣。

當其檔案執行時,螢幕上會出現一個假裝準備進行修補的畫面。然而 Patcher 勒索病毒一旦執行,就會開始使用隨機產生的 25 字元加密金鑰來將檔案加密。它會將「/Users」目錄以及掛載到「/Volumes」目錄下的磁碟和外接裝置當中所有檔案加密。此外,也會在使用者的系統上放置一份勒索訊息,勒索的金額為 0.25 比特幣 (約 300 美元)。 Continue reading “專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…"

Unix:會徹底改變勒索病毒遊戲規則嗎?

 

2016年是勒索病毒Ransomware(勒索軟體/綁架病毒)肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體,緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族,這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入,進而多樣化和擴展他們的平台、能力和技術,找到更多的目標。

的確,我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上,然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder(趨勢科技偵測為ELF_CRYPTOR家族)據報是第一個針對Linux系統的勒索病毒;它的目標是Linux網頁代管系統,會攻擊外掛程式或軟體(如Magento)的漏洞。而在Mac OS X系統上則有KeRanger(OSX_KERANGER),出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中,偽裝成RTF格式文件。

它們的共同點?都是Unix:多使用者、帶有命令行的作業系統,具備統一的檔案系統和簡單而強大的工具,如shell和命令列語言,可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好,包括Linux和Mac OS X.

圖1、Linux.Encoder(上方)和KeRanger(下方)加密程式庫的相似性;都使用ARM mbed TLS,它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder(左)和KeRanger(右)的函數名稱相似性,可能表示惡意軟體重寫;函數邏輯重複出現在兩個樣本上

 

Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統,但它們抵達的載體大多跟使用者無關,這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper(一個強制要求程式碼簽章和驗證下載軟體的安全功能)。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看,可以推測KeRangerLinux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰,而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger,具備一個未使用的功能能夠加密/刪除OS X的Time Machine(Mac電腦的備份工具)。Linux.Encoder透過開放原始碼勒索病毒專案而誕生,開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅,而它的第三版在全球感染了600台伺服器Continue reading “Unix:會徹底改變勒索病毒遊戲規則嗎?"

勒索病毒把網友當搖錢樹? 三步驟保護自己!

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件,專門提供沒有技術能力的新手,根據自己的需求來設定勒索細節。

Locky 先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片

容易讓網友掉以輕心的駭人手法,包含:先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入惡名昭彰的勒索病毒 Locky。

提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

Bizarro Sundown 攻擊分布情況 (依國家)。

 

 

追劇竟成悲劇! Cerber 勒索病毒透過惡意廣告散播,台灣已成重災區

許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:

“最近我同事只是追劇而已就中招,整個電腦資料全毀…."

fans-1

別讓勒索病毒當搖錢樹,三步驟保護自己!

在「勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬這文章中我們了解勒索病毒可以說讓犯罪集團賺翻了,那麼,您該如何確保自己不會成為另一棵搖錢樹?

以下是您可以做的三個步驟:

1.       備份、備份、再備份

2.       盡速修補系統漏洞

3.       建立重要的資安防護

層層的防禦不僅能提升您的防護,而且只需多花一點點投資。

第一道防護:備份、備份、再備份
有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

 勒索病毒 Ransomware (勒索軟體/綁架病毒)經常被拿來和真實世界的犯罪相比,因為這樣比較容易理解。但請記住,兩者之間存在著一項根本的差異:數位資料是可以輕易被複製的。

這使得兩種犯罪在機制上有明顯的差異。在真實世界,歹徒若挾持了某樣東西向您勒索,那表示東西已經不在您手上。當您支付贖金,歹徒可能會物歸原主,也可能拿到錢就音訊全無。

在數位世界裡,歹徒的作法則是將您的資料加密,讓您無法存取資料,直到您付錢為止…如果歹徒佛心來著。

當勒索病毒感染了某個系統時,會將系統上能找到的資料全部加密。基本上,這等於讓您無法存取資料,接著就能要脅您支付贖金。但如果您有另一份備份資料,情勢將完全改觀。

完善的備份措施是防範勒索病毒的首要步驟。有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

不要再碰運氣,或是總是說等有空再做備份,立刻將所有資料妥善備份到本地端和雲端。而且,是的,不論個人或大型企業機構都該這麼做。

一旦有了完善的備份,您就必須定期進行復原測試,因為備份資料要能復原才能發揮作用。

第二道防護:盡速修補系統漏洞,開啟自動更新,現在就做!

軟體本來就非常複雜,因此有問題是正常的,所以才會不斷有更新。這些更新通常會修補一些歹徒可能利用的系統漏洞。 Continue reading “勒索病毒把網友當搖錢樹? 三步驟保護自己!"

備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?

2016 年,趨勢科技與 ISMG 合作,針對金融、醫療與政府機構進行了一項問卷調查,以期更了解他們在勒索病毒方面所面臨的挑戰。調查的結果有些令我們訝異,有些則和我們在 2016 一整年看到的情況大致相符。

大多數網路犯罪集團都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒

我們都知道,勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為今日企業的一大頭痛問題,而 2016 年當中也出現了多起重大案例。根據趨勢科技發現,新勒索病毒家族的數量較去年成長了 748% ( 2015 年僅 29 個,2016 年竄升至 246 個),顯然這項犯罪手法在網路犯罪集團之間已掀起一股旋風。絕大多數網路犯罪集團現在都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒。可知勒索病毒已成為企業機構的一大威脅,也因此我們才想進一步了解這項威脅對企業機構和政府機關有何影響。讓我們一起來看看這項調查發現了什麼。

超過 53% 的企業機關都曾經成為勒索病毒的受害者;有 15% 的受訪者不曉得自己是否曾經受害

首先,過去一年當中有超過 53% 的企業機關都曾經成為勒索病毒的受害者。此外我們也發現,有 15% 的受訪者不曉得自己是否曾經受害。若依產業來看,我們發現金融業的防護似乎做得較好,因為金融業只有 33% 曾經受害,但政府機關則有 67% 曾經受害。這一點在我們的意料之內,因為金融機構在資安上的支出通常大於政府機關。有 75% 的受訪者表示,勒索病毒攻擊在過去一年似乎稍微或大幅增加,這與我們的研究結果以及我們在客戶端看到的情況一致,讓我們更確定犯罪集團現在比以往更常利用這項威脅。

大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%

其次一項特別引起我們注意的是受訪者遭受攻擊的次數。調查顯示,大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%。這突顯出一項眾多企業所面臨的重大挑戰:企業必須成功偵測並攔截每一次的攻擊,但歹徒卻只需成功一次就能得逞。另一項企業所面臨的威脅:針對性攻擊,也是同樣情況。我們現在越來越常看到歹徒在日常攻擊行動當中採用類似的手法。 Continue reading “備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?"

資安預測: 去年勒索病毒疫發不可收拾, 2017 年成長力道將開始平緩,但更多非 PC 裝置可能成為肉票

趨勢科技在「資安攻防新層次:趨勢科技 2017 年資安預測」報告當中指出,勒索病毒的成長力道在 2017 年將開始趨緩,但攻擊手法和攻擊目標將開始朝多元化發展。讓我們來仔細看看這意味著什麼,以及這項威脅明年將如何演變。

趨勢科技的資安預測基本上是根據 IT 運算潮流的發展與威脅情勢的演變而歸納出來。勒索病毒及其幕後的犯罪集團多年來已有長足的進步,從最早的FakeAV 假防毒軟體,到專門鎖住螢幕的 Screen Locker 勒索病毒,最後發展成今日的加密勒索病毒 Ransomware (勒索軟體/綁架病毒)。這樣的演變事實上是因為歹徒希望盡可能提高整體投資報酬率與單一目標感染率。而 FakeAV 和 Screen Locker 就是無法達成這項目標,因此歹徒後來想到,如果可以挾持使用者的重要檔案或系統,不僅受害者更可能支付贖金,而且還可以提高贖金的價碼。2017 年,除了將看到更多勒索病毒家族之外,同時也將看到更多樣化的攻擊手法和攻擊對象。

►《延伸閱讀》: 資安攻防新層次:趨勢科技 2017 年資安預測」報告

2016 年勒索病毒疫發不可收拾, 150 個新勒索病毒家族,成長率高達 400%

目前,勒索病毒是全世界最大的資安威脅之一。2015 年,我們發現的勒索病毒家族僅有 29 個,但 2016 年我們已發現 150 個新的家族,成長率高達 400%。不過,我們預料這股成長力道將無法持續下去,儘管如此,2017 年仍將較 2016 年成長 25%。換句話說,我們仍需面對各種新的勒索病毒,不過歹徒將專心開發新的對象,以及更多針對企業的攻擊技巧。

2016 年我們已見到這樣的發展,例如舊金山市交通運輸局 (Municipal Transport Agency,簡稱SFMTA) 最近發生的案例,歹徒入侵了該局的自動收費機,使得營運受到影響。SFMTA 為了不影響大眾權益,決定以不收費的方式繼續維持營運。像這類針對企業機構的攻擊,2017 年將更為常見,因為企業為了維持營運,很可能會願意支付較高的贖金。一般來說,勒索病毒要求的贖金大約是 1 至 2 比特幣(Bitcoin) (約合 775 至 1550 美元),但如果對象是SFMTA 這樣的企業機構,歹徒的贖金價碼將大幅提高,約為 100 比特幣 (73,000 美元左右),這麼高的投資報酬率,正是歹徒鍥而不捨的原因。凡是營運不能稍有閃失的企業 (如:醫療、製造、公共事業等等) 都應設法將營運管理系統與內部主要網路隔離,或者在傳統的防禦之外,額外增加一些防護。

預測更多的針對性攻擊/鎖定目標攻擊(Targeted attack )利用勒索病毒; 更多非 PC 裝置可能成為肉票

另一項有關勒索病毒的預測是歹徒的攻擊手法將多元化。我們將看到更多的針對性攻擊/鎖定目標攻擊(Targeted attack )開始在受害者電腦上植入勒索病毒,因為這樣不僅可竊取受害者的資料拿到地下市場販售,更可挾持這些資料來勒索贖金 (如果你支付 $XX 贖金,我就不將這些資料公開)。除此之外,我們也將看到一些非 PC 裝置,如:物聯網 IoT ,Internet of Thing裝置、PoS 銷售櫃台系統,甚至銀行 ATM 提款機,都將成為勒索病毒的攻擊目標,如同近幾年來專門攻擊 Android 裝置的行動勒索病毒一樣。發掘更多的攻擊面,一向是歹徒擴大感染率和獲利的策略之一。 Continue reading “資安預測: 去年勒索病毒疫發不可收拾, 2017 年成長力道將開始平緩,但更多非 PC 裝置可能成為肉票"

企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南

面對勒索病毒 Ransomware (勒索軟體/綁架病毒)的威脅,至今仍沒有一勞永逸或一體適用的解決方案。不過,勒索病毒從單純地造成使用者困擾蓬勃發展成一種犯罪事業的這十年間,資安產業也開發出更好的方法來阻止勒索病毒繼續囂張下去。

2016年,勒索病毒不僅突然崛起,其攻擊目標也開始從家庭使用者轉向各種產業。以下是一些有助您企業有效防範勒索病毒的重要原則。

Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)
Jigsaw 變種勒索訊息 (資料來源:BleepingComputer)

架起護盾:防範勒索病毒進入系統
面對任何形態的網路威脅都一樣,防範入侵點絕對是一項關鍵,以下是一些有助於防範勒索病毒感染整個企業網路的資安措施:

  • 定期備份重要資料。網路犯罪集團善於利用人們害怕失去重要檔案及文件的心理來迫使受害者支付贖金。因此,只要定期備份重要檔案就能將傷害降至最低,歹徒就無從要脅。此外,良好的備份策略,還可確保所有重要資料都存放在安全的地點,萬一企業發生資料損毀,就能輕鬆復原。請遵守3-2-1 原則來備份檔案:3 份備份、2 種儲存媒體、1 個不同的存放地點。某些惡意程式變種會試圖搜尋網路共用磁碟上的備份資料,因此,將一份備份資料存放在另一個地點非常重要,例如某台未連上公司網路的電腦。
  • 在端點裝置上建立應用程式白名單來防止所有未知及不當的應用程式執行。藉由行為監控和應用程式控管,就算歹徒試圖入侵系統,企業依然能夠維持安全。行為監控有助於掌握系統是否出現「異常」或不尋常的行為,而應用程式控管則能限制系統上只可執行一些非惡意的檔案和執行程序。IT 系統管理員可藉此控管企業網路內可執行的應用程式。
  • 擬定一套以資安為考量的網路分割方案。將資產和資源做策略性的分組,好讓 IT 系統管理員清楚掌握資料的流向,以及可允許存取的對象。適當地切割網路,可避免駭客癱瘓整個網路。確切掌握網路上有哪些使用者,以及他們所存取的資源,並適當加以分類。若能進一步切割使用者權限,並且適當讓網路流量分流,就能為企業最重要的資料帶來多一分的保障。依據各個部門或各個團隊的需求來分割網路,能限縮駭客可存取的資源,有效限制感染範圍。僅開放最低必要的存取權限給使用者,這樣一來歹徒就更難取得系統管理員權限。
  • 教育使用者有關社交工程(social engineering )攻擊的跡象和危險性。教導使用者養成安全的電子郵件與網路使用習慣,例如,唯有來自信任對象的附件檔案、網址或程式才能打開或執行。此外,鼓勵使用者在遇到可疑的電子郵件和檔案時務必向資安團隊通報,這也同樣重要。
  • 隨時套用作業系統和應用程式廠商釋出的軟體修補。應用程式和伺服器若含有未修補的漏洞,就經常會成為駭客的入侵點,讓歹徒有機可乘,將勒索病毒植入系統。要避免這種情況,軟體就必須定期更新和修補。仔細檢視一下您現有的修補流程,將所有可能妨礙軟體適時修補與更新的障礙排除。此外,虛擬修補技術可以保護含有漏洞的伺服器,就算必要的軟體修補尚且無法套用至所有伺服器和端點也能防範勒索病毒入侵。
  • 確定您的資安產品隨時保持更新,並定期執行掃瞄。不論您的企業網路建置了多少安全防護,駭客只需要找到一個缺口就能入侵。務必確定您所建置的資安解決方案都隨時保持更新,因為,久未更新的軟體等於是為駭客敞開大門。

止血:損害控制

從使用者不小心點選到某個惡意連結或下載某個有毒的檔案,到電腦畫面上出現勒索訊息,過程可能只有幾分鐘。然而,這段時間卻發現並防止勒索病毒疫情爆發以盡可能降低損害的黃金時期。以下是您該注意的一些資安要點: Continue reading “企業如何防範勒索病毒?從預防,損害控制到復原的全方位指南"

《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%

Mobile 手機 駭客 在幾個星期前,筆者在2016年的歐洲黑帽大會上談論了躲進口袋的壞東西:為什麼勒索病毒造成貓捉老鼠遊戲內的曲折劇情。當回顧2015年4月到2016年4月的行動勒索病毒 Ransomware (勒索軟體/綁架病毒)時,趨勢科技注意到了Android勒索病毒數量的大幅上升。在這一年時間內,Android勒索病毒數量增加了140%。某些地方的行動勒索病毒甚至佔行動惡意軟體總數的22%!(這些數字來自趨勢科技的行動應用程式信譽評比服務)。在這期間所注意到的一個趨勢是它跟傳統勒索病毒走勢有密切相關:跟其他勒索病毒一樣,行動勒索病毒也在不斷地發展和成長。

這項研究從筆者在Politecnico di Milano(POLIMI)時就開始,趨勢科技的行動研究團隊為這項研究做出巨大的貢獻。本文將討論行動勒索病毒所使用的技術及協助解決這些問題的偵測技術。

為什麼行動勒索病毒會得逞?上鎖和恐懼

根據趨勢科技的分析,鎖住螢幕和恐嚇受害者必須付錢,以重新啟用設備,是行動勒索病毒得逞的必備伎倆。

鎖住螢幕

SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備,總結如下基於KeyEvent.Callback API呼叫:

  • 綁定onKeyDown()和onBackPressed()函式回調,
  • 只要受害者按下實體按鈕就會觸發回調,
  • 根據API,透過傳回「true」值給連鎖內的下一個回調(代表「不傳播,事件已經被處理」),應用程式有效地防止當前的活動被移到背景處理。

 

圖1、Android套件索引列表內onKeyDown()函式的說明

Continue reading “《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%"

企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

 圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。
圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。

 

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWareRANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CADRansom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

圖2、夾帶Cerber的垃圾郵件樣本
圖2、夾帶Cerber的垃圾郵件樣本

Continue reading “企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?"