最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付

原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B),這是一個來自巴西駭客的勒索病毒,採用 .NET 撰寫並利用電子商務平台來散布,例如專門銷售數位商品的網站。

其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔,並顯示以下畫面:

此勒索訊息內容大致翻譯如下:

解開被加密的「.locked」檔案。
若您已經取得密碼,請在下方輸入密碼,然後按一下「Unlock Files」(解開檔案)。

若您沒有密碼,請按「Obter Senha」(取得密碼) 按鈕。

當使用者按下「Obter Senha」(取得密碼) 按鈕,就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站,這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元,因此還算容易負擔,而且可以透過 PayPal 支付。接著,病毒會隨機產生一個加密金鑰。

Continue reading “最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付”

French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

近期勒索病毒:更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄,他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式,甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER), 這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中,相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX,受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站,然後輸入勒索病毒產生的識別碼 (ID),接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器,時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器,每次 10 分鐘一到,就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染,或是由其他惡意程式植入系統當中,受害者可選擇英文或法文介面。首先,勒索病毒會將自己複製一份到系統上,然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

圖 1:FrenchLocker 的勒索訊息畫面。
圖 1:FrenchLocker 的勒索訊息畫面。

Continue reading “French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本”

勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:

 

勒索病毒Roza Locker 盯上遊戲玩家

勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群:遊戲玩家。Roza Locker(被偵測為RANSOM_ROZALOCK.A)是一種新的勒索病毒,針對俄語系的遊戲愛好者,會偽裝成電腦遊戲的安裝程式。開啟檔案之後,勒索病毒會要求提升權限好開始加密檔案。 Continue reading “勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,,只要付錢還幫你加密別人電腦”

TorrentLocker 勒索病毒,利用雲端服務來躲避偵測/裝萌的勒索訊息,使用Python程式語言

 

一隻名為TorrentLocker勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測,雖然該勒索病毒的行為跟之前並沒有太大不同,但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程(social engineering )技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案(實際上是勒索病毒檔案)。

 

 

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意,在二月底出現了PyL33t(趨勢科技偵測為Ransom_PYLEET.A)和Pickles(趨勢科技偵測為Ransom_CRYPPYT.A)。

網路文化對PyL33t勒索病毒產生了重大影響,像是其勒贖通知使用Comics Sans這種似手寫的字體字體,使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上,它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

 

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦,它會加密檔案並用.EnCrYpTeD副檔名重新命名,將桌面改成上述訊息,並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知,內文要求1比特幣的昂貴贖金(約1,200美元)。解密程式也跟勒索病毒一起植入電腦;但想解密檔案需要密碼。

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

勒索病毒把網友當搖錢樹? 三步驟保護自己!

在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想來分一杯羹。甚至有犯罪集團販售勒索病毒DIY套件,專門提供沒有技術能力的新手,根據自己的需求來設定勒索細節。

Locky 先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片

容易讓網友掉以輕心的駭人手法,包含:先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入惡名昭彰的勒索病毒 Locky。

提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

Bizarro Sundown 攻擊分布情況 (依國家)。

 

 

追劇竟成悲劇! Cerber 勒索病毒透過惡意廣告散播,台灣已成重災區

許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

fans-1

別讓勒索病毒當搖錢樹,三步驟保護自己!

在「勒索病毒成為黑色產業金雞母的三個關鍵:無需特殊技能、低風險、高報酬這文章中我們了解勒索病毒可以說讓犯罪集團賺翻了,那麼,您該如何確保自己不會成為另一棵搖錢樹?

以下是您可以做的三個步驟:

1.       備份、備份、再備份

2.       盡速修補系統漏洞

3.       建立重要的資安防護

層層的防禦不僅能提升您的防護,而且只需多花一點點投資。

第一道防護:備份、備份、再備份
有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

 勒索病毒 Ransomware (勒索軟體/綁架病毒)經常被拿來和真實世界的犯罪相比,因為這樣比較容易理解。但請記住,兩者之間存在著一項根本的差異:數位資料是可以輕易被複製的。

這使得兩種犯罪在機制上有明顯的差異。在真實世界,歹徒若挾持了某樣東西向您勒索,那表示東西已經不在您手上。當您支付贖金,歹徒可能會物歸原主,也可能拿到錢就音訊全無。

在數位世界裡,歹徒的作法則是將您的資料加密,讓您無法存取資料,直到您付錢為止…如果歹徒佛心來著。

當勒索病毒感染了某個系統時,會將系統上能找到的資料全部加密。基本上,這等於讓您無法存取資料,接著就能要脅您支付贖金。但如果您有另一份備份資料,情勢將完全改觀。

完善的備份措施是防範勒索病毒的首要步驟。有了備份,歹徒就失去籌碼,你只需清除感染,修補系統漏洞 (也就是找出歹徒入侵的管道),危機就能解除。

不要再碰運氣,或是總是說等有空再做備份,立刻將所有資料妥善備份到本地端和雲端。而且,是的,不論個人或大型企業機構都該這麼做。

一旦有了完善的備份,您就必須定期進行復原測試,因為備份資料要能復原才能發揮作用。

第二道防護:盡速修補系統漏洞,開啟自動更新,現在就做!

軟體本來就非常複雜,因此有問題是正常的,所以才會不斷有更新。這些更新通常會修補一些歹徒可能利用的系統漏洞。 Continue reading “勒索病毒把網友當搖錢樹? 三步驟保護自己!”

備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?

2016 年,趨勢科技與 ISMG 合作,針對金融、醫療與政府機構進行了一項問卷調查,以期更了解他們在勒索病毒方面所面臨的挑戰。調查的結果有些令我們訝異,有些則和我們在 2016 一整年看到的情況大致相符。

大多數網路犯罪集團都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒

我們都知道,勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為今日企業的一大頭痛問題,而 2016 年當中也出現了多起重大案例。根據趨勢科技發現,新勒索病毒家族的數量較去年成長了 748% ( 2015 年僅 29 個,2016 年竄升至 246 個),顯然這項犯罪手法在網路犯罪集團之間已掀起一股旋風。絕大多數網路犯罪集團現在都會在攻擊當中運用到勒索病毒,而且幾乎所有的漏洞攻擊套件都會散布勒索病毒。可知勒索病毒已成為企業機構的一大威脅,也因此我們才想進一步了解這項威脅對企業機構和政府機關有何影響。讓我們一起來看看這項調查發現了什麼。

超過 53% 的企業機關都曾經成為勒索病毒的受害者;有 15% 的受訪者不曉得自己是否曾經受害

首先,過去一年當中有超過 53% 的企業機關都曾經成為勒索病毒的受害者。此外我們也發現,有 15% 的受訪者不曉得自己是否曾經受害。若依產業來看,我們發現金融業的防護似乎做得較好,因為金融業只有 33% 曾經受害,但政府機關則有 67% 曾經受害。這一點在我們的意料之內,因為金融機構在資安上的支出通常大於政府機關。有 75% 的受訪者表示,勒索病毒攻擊在過去一年似乎稍微或大幅增加,這與我們的研究結果以及我們在客戶端看到的情況一致,讓我們更確定犯罪集團現在比以往更常利用這項威脅。

大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%

其次一項特別引起我們注意的是受訪者遭受攻擊的次數。調查顯示,大約每五家企業機關就有一家表示每個月會遇到 50 次以上的攻擊,而每個月至少遇到 5 次以上攻擊的則高達42%。這突顯出一項眾多企業所面臨的重大挑戰:企業必須成功偵測並攔截每一次的攻擊,但歹徒卻只需成功一次就能得逞。另一項企業所面臨的威脅:針對性攻擊,也是同樣情況。我們現在越來越常看到歹徒在日常攻擊行動當中採用類似的手法。 Continue reading “備份不能算防禦 ! 當勒索集團找上門時,你的企業準備好了嗎?”

企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

 圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。
圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。

 

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWareRANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CADRansom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

圖2、夾帶Cerber的垃圾郵件樣本
圖2、夾帶Cerber的垃圾郵件樣本

Continue reading “企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?”

五個網路 NG 行為,最容易幫詐騙集團爭取年終獎金

趨勢科技曾經做過一個【勒索病毒搞什麼鬼?趣味調查】,多數人對勒索病毒的心態是選擇「等碰到了再說,現在沒想那麼多」

以下是一般人對勒索病毒的心態排行:

  1. 等碰到了再說,現在沒想那麼多
  2. 我平常有備份,沒在怕
  3. 就算檔案被加密也沒關係,反正裏頭沒什麼重要東西,重灌就好
  4. 我都沒有亂點網頁或連結,沒在怕
  5. 我不會那麼倒楣碰到勒索病毒

看來多數人是抱著碰運氣的僥倖心態,不過小編要提醒大家:沒有亂點網頁或連結,並不保證有免疫力,因為瀏覽合法的官方網站也會中毒!?一次看懂勒索病毒四個地雷,還有開啟 WORD 附件也會中招!當然備份是一定要有的好習慣,請記得遵守 3-2-1 原則。

別讓你的血汗錢,成詐騙集團年終獎金

也許正因為這種心態,使得勒索病毒威脅一再得逞。利字當頭一切向錢看,也使得勒索病毒的攻擊更加針對性,比如迫使醫院改用紙本作業,甚至病人不得不轉院;加密勒索病毒還看準警察局缺少IT專業人士,一再挑戰執法單位,迫使美國小鎮警察局支付贖金;最不可思議的是,台灣還發生了一例攻擊城隍廟內部文書處理系統的案例。

美國聯邦調查局 (FBI) 在九月曾經發出一份資安通告,呼籲受害者出面報案,好讓他們能夠「更全面掌握當前的威脅情勢以及使用者的受害情況。」這份通告指出,光是單一勒索病毒變種每天就可感染高達 100,000 台電腦。再對照另一項資訊:趨勢科技光在今年上半年就發現了 79 個新的勒索病毒家族,這數字較 2015 年一整年的數量成長了 179%。

根據趨勢科技接獲的案例回報顯示,今年第一季感染勒索病毒 Ransomware的受害企業當中,近三成是重複感染,未經修補伺服器的安全漏洞形成防護空窗。有 IT 專業人員的企業都如此了,那麼個人用戶更得確實做好防護,許多經驗顯示乖乖付費,從此被當肥羊 ,別讓你的血汗錢,成詐騙集團加菜金!

99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊

phishing7

根據趨勢科技 Trend Labs 報告發現:99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊。每天有100 次掉進駭客陷阱的風險!臺北市某公司會計人員收到一封標題為「免費抽iphone 」的電子郵件,一打開”中獎名單”附檔,電腦中的檔案立刻被勒索病毒攻擊!「你的檔案已被加密,支付 600 美金索取解鎖金鑰, 96 小時後贖金加倍,倒數計時開始 !!」

今年五月美國電子商務巨擘 Amazon 的使用者陸續接到通知,請他們小心提防大規模網路釣魚(Phishing)詐騙。估計有 3,000 萬封,甚至另有估計一億封假冒該網站名義所發出Amazon.com 訂單出貨通知的垃圾郵件,寄件人地址為「auto-shipping@amazon.com」,主旨為「Your Amazon.com Order Has Dispatched (#code)」(您的 Amazon.com 訂單已出貨 (#編號))。

該郵件內文為空白,僅附上一個 Microsoft Word 文件,這個 Word 文件的內容也是空的,但卻含有一些原本用來將常用操作自動化的巨集程式碼。許多受害者收到這個惡意檔案的使用者當看到畫面上要求啟用巨集以閱讀文件內容時,通常會不自覺地照做,因此就會從某個網站下載Locky 勒索病毒到電腦。

避開 5 個 NG網路習慣,遠離網路釣魚以假亂真

以下一些案例,教大家如何避開幾個 NG網路習慣,讓這些外表難以辨的網路詐騙份子,尤其是網路釣魚,離你愈遠愈好。

alert1NG行為1:打字太快,不小心按到其他的鍵
alert1NG行為2:以為 Google ,Yahoo 等搜尋引擎找到的都是真的
alert1NG行為3:收到知名機構或是執法集團的警告信瞬間驚呆了!
alert1NG行為4:只要收到好康通知,滑鼠就失去理智了!
alert1NG行為5:管不住好奇心,滑鼠總愛追根究底 Continue reading “五個網路 NG 行為,最容易幫詐騙集團爭取年終獎金”

盤點 2016 年六大勒索病毒

光是在2016年上半年,新出現的勒索病毒家族數量就成長了172%。趨勢科技封鎖了超過1億次的勒索病毒攻擊。以下列出2016年惡名昭彰的六隻勒索病毒:

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」
2. CERBER:會說話的加密勒索軟體,台灣是攻擊目標
3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集
4.Crysis: 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播
5. CryLocker: 打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿
6.Stampado: 每六個小時就會有一個隨機檔案被永久刪除,96小時後解密金鑰就會永遠消失

 

1.JIGSAW:《奪魂鋸》殺人魔現身勒索軟體:I want to play a game with you….

 「 YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY(你整天沉迷色情網站,別再看這麼多色情影片了。現在你必須付出代價)這是新的加密勒索軟體JIGSAW 的勒索訊息之一

 為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。「JIGSAW」(電動線鋸)勒索病毒家族,讓人聯想到Saw《奪魂鋸》這部恐怖電影。JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態,每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。


延伸閱讀:《奪魂鋸》殺人魔化身勒索軟體 JIGSAW:重新開機,刪除 1,000 個檔案;未在 72 小時內付款,刪除所有加密檔案

 

2. CERBER:會說話的加密勒索病毒,台灣是攻擊目標

 

「注意!注意!注意!」
「你的文件、照片、資料庫和其他重要檔案都已經被加密!」

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

雖然Cerber有好幾個變種,最原先的版本最嚇人 – 會用語音來告訴受害者已經中毒了,以下是音頻檔案:

Cerber是2016年最惡名昭彰也最流行的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族。它具備多種攻擊策略,包括利用雲端平台Windows腳本,還會加入非勒索病毒行為像是分散式阻斷服務攻擊。它會流行的原因之一可能是它經常被作為服務買賣(勒索軟體即服務也就是RaaS)。

有粉絲在趨勢科技粉絲頁留言:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

 

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒。

趨勢科技資深技術顧問簡勝財表示,Cerber 除了透過郵件大量散播之外,最近也開始透過惡意廣告進行攻擊,而且衍生出變種。

兩個重要提醒:

提醒用戶除了”三不三要”之外(如下圖),還有兩個防範 Cerber 勒索病毒的建議:

1.更新作業系統或應用程式的修補程式,例如Flash/IE等

2.部分變種會透過email寄送office文件檔案,開啟文件時會要求開啟巨集的功能. 若收到這類信件或附檔.請不要任意開啟巨集以避免中毒

延伸閱讀: Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

3. MICROP: V怪客現身,假冒海關所用的貨物進出口表格,誘騙使用者啟用巨集

這個帶嘲諷的勒索病毒將責任歸咎於受害者,並假設他們知道如何付錢。此外,這有V怪客的圖檔也夠讓人驚嚇了 – 因為勒贖金額將近29,000美元! Continue reading “盤點 2016 年六大勒索病毒”

勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力

2015年7月,一個名為「Encryptor RaaS」(趨勢科技偵測為RANSOM_CRYPRAAS.SM)的新勒索病毒即服務(Ransomware-as-a-Service)浮出檯面,想複製像ToxORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬:跨平台,吸引人的價格,而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅,因為Encryptor RaaS可以對會員提供客製化服務。

Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板,讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來(如Cerber,開發者抽取40%的佣金),Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒,當然,為了躲避追查,比特幣(Bitcoin) 是首選交易貨幣。

早在2016年3月,趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒,同時也不斷地利用反防毒服務和加密服務。

但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落?

資安趨勢 勒索病毒 ransomware

犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID,並不需要其他技術專長

Encryptor RaaS會在表層網路和黑暗網路(Dark Web)的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外,並不需要其他技術專長。他們還會取得一個「客戶ID」,所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額,並選擇使用哪些方法來散播定製的惡意軟體。 Continue reading “勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力”