勒贖軟體 - 資安趨勢部落格

你相信搜尋引擎找到的都是真的?! 夾毒山寨網頁搶搜尋排名,當心勒索病毒「找」上門

2016 年 08 月 01 日2023 年 05 月 19 日趨勢科技 TrendMicro

連 Google 大神也可能找到假的,肉眼難以分辨,跟眼睛業障重沒關係！

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO /Balck SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

網頁的煙幕彈愈來愈多，誤點惡意網址台灣排名全球第三,使用者除擔心惡意程式透過不明郵件的附件檔散播外，還得當心瀏覽網頁誤觸勒索病毒 Ransomware (勒索軟體/綁架病毒)暗中埋設的地雷。這些被下毒的頁面，很難憑肉眼察覺，小編整理分享幾個案例,希望大家下次搜尋找網站時，不要心急狂亂點擊搜尋結果,最好不要與勒索病毒或是埋藏在網頁中的惡意程式打照面。

要「牛奶」，給「腥羶」-最平凡的字彙，竟有另人臉紅的搜尋結果

在網路上搜尋最平凡的詞彙卻產生令人不堪入目的結果，其中不僅充斥各類色情網頁，更有夾帶惡意程式的色情圖片在其中。趨勢科技發現不僅造訪賭博網站或成人網站會受到網頁威脅攻擊，輸入一般性查尋的詞彙，所出現的連結更有出現令人傻眼的內容，例如輸入「 milk（牛奶）」這個字眼，竟出現「 Sex（性）」、Porn（色情）」等兒童不宜字眼。一旦好奇點選，更有被潛藏其中的惡意程式入侵之危險。

2011 年四月這則新聞陸網友受不了！下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞認識Black SEO( 搜尋引擎毒化)。話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》（因為大陸沒上映），擋得住電影上演卻檔不住大陸網友在網路上熱搜，不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵，導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版？」不少消費者抱怨大公司維修客服態度差，價格又亂報，後來才發現網路上很多維修官網都是假的，許多知名家電公司有都有仿冒官網，導致消費者對於無辜的公司抱怨不斷。

山寨版 LINE,網友:超像的!

網友曾在 PTT 爆料說有朋友有在 Yahoo 輸入”LINE”,結果顯示的第一條關鍵字廣告看起來是真正的 LINE 官方網站網址：https://line.me/zh-hant/,但點進去卻會自動轉址到有兩字之差的 LINE 釣魚網站(“me”變成 “pm”)：hXXp://line.pm/zh-hant

盜 LINE 帳號山寨版網路釣魚網站出現在 YAHOO 關鍵字搜尋廣告 ,A 是釣魚網站

當心你的同情心招濫用,網路詐騙集團跟你一起用搜尋引擎關心災難新聞

每當發生全球關心的重大新聞事件,網路詐騙集團或駭客,看準人們習慣使用搜尋引擎關心最新消息的習慣,執行Black_Hat SEO 搜尋引擎毒化詐騙,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。
比如 2011 年日本大地震時,被害的網友點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

2016 年 03 月 29 日2017 年 06 月 29 日趨勢科技 TrendMicro

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人 — 勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦，骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊，此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件，信件內含一個連向 Dropbox 雲端空間的連結，點選連結後會發現內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

★針對此新型勒索軟體企圖修改主要開機磁區（MBR)的惡意行為，PC-cillin 雲端版已經能主動偵測並加以封鎖，建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得，光是將檔案加密還不足以逼迫使用者，因此，現在他們又開發了一種會讓電腦出現藍色當機畫面，並且在電腦重新開機時顯示勒索訊息的加密勒索軟體，使用者根本無法進入作業系統。想像一下當您打開電腦電源之後，電腦上出現的不是熟悉的 Windows 開機畫面，而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面 — 圖 1：感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR)，讓使用者無法開機，更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為，但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向下載履歷表的]Dropbox連結，求指者的照片是盜用的

研究人員指出，Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件，信件內含一個指向 Dropbox 雲端空間的連結，可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中，此連結指向一個 Dropbox 資料夾，內含兩個檔案：一個是偽裝成履歷表的自我解壓縮執行檔，另一個是冒充「求職者」的照片檔。經過進一步的分析之後，我們發現該照片應該是從網路上盜來的圖片。

繼續閱讀

勒索病毒,連警察局長辦公室也淪陷

2016 年 03 月 25 日2018 年 08 月 10 日趨勢科技 TrendMicro

警長辦公室硬碟遭到加密! 因為有人不小心從共用網路上下載了勒索病毒。猜猜看以下哪個是正確的 ?____
1.警察逮捕了歹徒
2.歹徒主動交出解密金鑰
3.警察竟付了贖金
4.FBI 追查並逮捕到歹徒

「你們的檔案都已被我加密，如果真的在乎這些數據，那麼建議你們別浪費寶貴時間，尋找不存在的解決方案」。在連續五天努力都未能解密之後，受害者無奈支付了數百美金贖金給勒索病毒 Ransomware 犯罪份子，而受害對象是警察。

本文末列舉的是 2015 年四月的例子,但這並非唯一的一個勒索病毒 Ransomware 挑戰執法單位的案例:

麻薩諸塞州 Swansea警察局在2013年支付了750美元贖金
伊利諾州 Midlothian警察局2015年支付了500美元
田納西州迪克森郡(Dickson County)治安官辦公室2015年支付了572美元。
阿拉巴馬州柯林斯維爾（Collinsville）警察局在 2015 年6 月被襲, ，導致罪犯照片資料庫被加密鎖定。駭客要求500美元贖金，但這家小鎮警局拒絕支付，而是放棄被綁架的檔案資料

加密勒索病毒看準警察局缺少IT專業人士,一再挑戰執法單位

犯罪份子鎖定美國小鎮警局,主要是看準他們人手不多，缺少IT專業人士，警察為了讓自己的工作儘快恢復正常的情況下,只能無奈選擇支付贖金。

今日的惡意程式和以往已大不相同。過去，使用者只需一套防毒軟體，或者依序執行某些步驟就能清除惡意程式的檔案和副作用，但今日的勒索病毒 Ransomware 可沒這麼好應付。勒索軟體是專為鎖住系統或某些檔案然後向使用者勒贖而設計，因此可說是場賭注：不是歹徒拿錢走人，就是受害者承受檔案全毀的代價。

雖然早期的勒索軟體變種 (尤其是那些單純只將電腦畫面鎖住的變種) 可以透過勒索軟體反制工具來解決，但一些較新的變種可就沒這麼容易對付。事實上，會將電腦系統鎖住「並且」將某些檔案加密的加密勒索軟體，可說是駭客的一招「死棋」，使用者一旦中招，立刻就陷入兩難的抉擇。

[延伸影片：勒索軟體如何運作：從感染到勒索]

沒有解密金鑰，就算勒索病毒 Ransomware被清除了，被加密的檔案還是救不回來

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)採用了現代化的加密技術，這些原本為了保護資料及通訊安全而發展出來的加密技術，會使用特殊的演算法來將檔案重新編碼，因此唯有擁有解密金鑰的人才能開啟或閱讀檔案內容。繼續閱讀

CERBER：會說話的加密勒索軟體，在俄羅斯地下市場兜售

2016 年 03 月 08 日2016 年 03 月 09 日趨勢科技 TrendMicro

「注意！注意！注意！」
「你的文件、照片、資料庫和其他重要檔案都已經被加密！」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

想想看，你系統上所有的重要檔案都被勒索軟體 Ransomware加密了。你很快就收到勒贖通知，其中一個還會發出聲音念出訊息，並告知你的檔案已經成為勒索贖金的人質，除非你依照指示付贖金。

RANSOM_Cerbera加密勒索軟體具備「語音」能力，用電腦語音來播放如下音頻檔案：

音訊播放器

00:00

使用向上/向下鍵以提高或降低音量。

在一般的案例中，這類型的威脅會出現包含如何支付贖金和取回檔案的說明圖檔。這種創新作法讓人想起REVETON變體（或稱為警察勒索軟體），能夠根據使用者所在地來用適當的語言「說話」。

圖1、勒贖通知樣本

根據我們的調查，CERBER只使用英語；然而，當使用者透過Tor瀏覽器來點入連結，它所指向的網頁會詢問使用者要用哪種語言。儘管登錄網頁提供各種語言選項，但直到本文貼出時，只有英語有效。CERBER背後的網路犯罪分子要求使用者支付1.24比特幣（Bitcoin）（在2016年3月4日時約等於523美元），這會在七天後增加至2.48比特幣（Bitcoin）（在2016年3月4日約等於1046美元）。

圖2、詢問偏好語言的登錄網頁

繼續閱讀

勒索軟體以病歷當人質,好萊塢長老教會醫療中心（HPMC）癱瘓一個多星期

2016 年 02 月 19 日2016 年 03 月 09 日趨勢科技 TrendMicro

繼病毒會造成大停電, 車上聽歌汽車被挾持,現在病毒竟可以迫使病人轉院了…

好萊塢長老教會醫療中心（HPMC）的網路已經因為勒索軟體 Ransomware 攻擊而癱瘓了一個多星期。美國聯邦調查局和洛杉磯警察一直在努力查明來源和攻擊的嚴重性，但截至發稿時，這具備430個床位的洛杉磯醫院所需要的網路和電腦相關功能包括電腦斷層掃描、實驗室工作、藥劑和文書作業都還在離線狀態。無法即時查詢病例或檢查結果,造成情況危急的病人被迫轉院治療

HPMC總裁兼執行長 – Allen Stefanek宣稱此內部緊急事件已經對急診系統造成嚴重的影響，造成必須將受影響病患轉到其他醫院。雖然沒有收集到證據顯示是否有病患或員工資料遭受未經授權存取，醫院工作人員被迫轉成在紙上手動登記掛號和其他醫療記錄。