目標式勒索 - 資安趨勢部落格

目標式勒索:「客製化」勒索病毒Defray,最愛的四個產業

2017 年 09 月 07 日2018 年 10 月 23 日趨勢科技 TrendMicro

勒索病毒最愛的醫療保健、教育、製造及科技組織

到處肆虐的勒索病毒 Ransomware (勒索軟體/綁架病毒)一般是以「亂槍打鳥」的方法感染，新興勒索病毒 Defray (由趨勢科技偵測到的 RANSOM_DEFRAY.A 及 RANSOM_DEFRAY.B) 則鎖定特定攻擊目標。報告指出，Defray 散播者利用量身訂製的社交工程（social engineering ）手法，將目標鎖定在勒索病毒最愛的醫療保健、教育、製造及科技組織，特別是醫療保健業。

$defray ransom$

Defray 冒充「醫院 IT 管理者」,寄送病患報告

Defray 和大多數的勒索病毒一樣，透過網路釣魚（Phishing）電子郵件散播，它會嘗試強迫受害者下載惡意檔案。2016 年趨勢科技報告指出電子郵件是最常見的進入點，有 79% 勒索病毒來自垃圾郵件。

Defray冒充「醫院 IT 管理者」偽裝寄送病患報告的網路釣魚電子郵件。趨勢科技也發現有些網路釣魚郵件，偽裝成一家英國的水族公司，要求收件者報價或訂購產品，而惡意檔案上附有「官方」標誌。這些郵件的針對性及細節清楚顯示，攻擊者努力讓攻擊目標相信其真實性，而量身訂製的誘餌，顯示攻擊者正在鎖定更具體的攻擊目標。繼續閱讀

目標式勒索:French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

2017 年 04 月 19 日2018 年 12 月 13 日趨勢科技 TrendMicro

近期勒索病毒：更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄，他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式，甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER)，這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中，相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX，受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站，然後輸入勒索病毒產生的識別碼 (ID)，接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器，時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器，每次 10 分鐘一到，就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染，或是由其他惡意程式植入系統當中，受害者可選擇英文或法文介面。首先，勒索病毒會將自己複製一份到系統上，然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

繼續閱讀

目標式勒索:刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

2016 年 04 月 08 日2018 年 10 月 23 日趨勢科技 TrendMicro

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後，醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

根據 Cisco 旗下威脅情報中心 Talos 的發現，SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞，而非透過惡意廣告或惡意電子郵件社交工程（social engineering ）技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布，並且利用這些伺服器來入侵更多電腦系統，進而搜尋電腦上的重要資料並加以加密，其主要攻擊目標為醫療產業。

[延伸閱讀：Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動，並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是，Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中，歹徒要求的贖金是每一台電腦1.5個比特幣（Bitcoin），或者是22個比特幣（Bitcoin）的代價清除所有受感染的電腦。

[延伸閱讀：勒索軟體如何運作]

FBI警告，SAMSAM 會「手動搜尋並刪除」備份檔案，逼迫受害企業就範

繼續閱讀