綁架病毒 - 資安趨勢部落格

勒索病毒成為一般商品!只要 50 美元，就能取得 WannaCry 勒索病毒的終生授權

2017 年 10 月 12 日2017 年 10 月 12 日趨勢科技 TrendMicro

任何人，據稱只要 50 美元，就能取得WannaCry(想哭)勒索病毒的終生授權，而且可以無限升級。今年 5 月 14 日，我們在阿拉伯文地下網站上看到這則廣告，就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅，搖身一變成了一般性商品，只要有心，任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外，WannaCry 的價格也相對低廉，這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的，中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送，例如：遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且，這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。

圖 1：WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上，我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是，同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。繼續閱讀

最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付

2017 年 05 月 03 日2017 年 05 月 02 日趨勢科技 TrendMicro

原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B)，這是一個來自巴西駭客的勒索病毒，採用 .NET 撰寫並利用電子商務平台來散布，例如專門銷售數位商品的網站。

其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔，並顯示以下畫面：

此勒索訊息內容大致翻譯如下：

解開被加密的「.locked」檔案。
若您已經取得密碼，請在下方輸入密碼，然後按一下「Unlock Files」(解開檔案)。
若您沒有密碼，請按「Obter Senha」(取得密碼) 按鈕。

當使用者按下「Obter Senha」(取得密碼) 按鈕，就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站，這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元，因此還算容易負擔，而且可以透過 PayPal 支付。接著，病毒會隨機產生一個加密金鑰。

繼續閱讀

目標式勒索:French Locker 每10 分鐘刪除一個檔案;專挑醫療機構下手的SAMSAM推出新版本

2017 年 04 月 19 日2018 年 12 月 13 日趨勢科技 TrendMicro

近期勒索病毒：更難偵測的手法與躲避技巧

勒索病毒 Ransomware (勒索軟體/綁架病毒)者絕不輕言放棄，他們總是不斷嘗試新的躲避技巧、新的程式開發語言、新的命名方式，甚至更強硬的勒索方式來逼迫受害者就範。

最近一項新的技巧是將勒索病毒包裝在 RarSFX 自我解壓縮執行檔內。我們曾探討了某個包裝在 SFX 檔案當中的多重元件 Cerber 變種 (趨勢科技命名為 RANSOM_CERBER)，這種躲在壓縮檔內的技巧可以讓它避開機器學習偵測機制。新發現的 CrptXXX 勒索病毒 (趨勢科技命名為 RANSOM_CRPTX.A) 同樣也躲在 SFX 壓縮檔中，相信其意圖亦相同。此勒索病毒需搭配一些適當的指令參數和壓縮檔內的其他元件才能順利執行。

系統一旦感染 CrptXXX，受害者就會看到一份簡單明瞭的勒索訊息。受害者必須前往某個「.onion」(洋蔥路由器網域) 的網站，然後輸入勒索病毒產生的識別碼 (ID)，接著遵照指示付款。

French Locker在螢幕上顯示10 分鐘的倒數計時器，時間一到就刪除一個檔案

French Locker (趨勢科技命名為 RANSOM_LELEOCK.A) 是一個典型的快打型勒索病毒。此勒索病毒會在螢幕上顯示一個 10 分鐘的倒數計時器，每次 10 分鐘一到，就會刪除受害者一個被加密的檔案。
此病毒是經由惡意網站感染，或是由其他惡意程式植入系統當中，受害者可選擇英文或法文介面。首先，勒索病毒會將自己複製一份到系統上，然後在系統登錄當中增加一筆設定讓系統在重新開機時自動執行該病毒並觸發加密程序。被加密的檔案名稱末端會多了「.lelele」副檔名。

繼續閱讀

勒索病毒新把戲:盯上遊戲玩家、不再只鍾情比特幣、偽裝成「Helper」應用程式,，只要付錢還幫你加密別人電腦

2017 年 04 月 05 日2017 年 04 月 20 日趨勢科技 TrendMicro

在勒索病毒（Ransomware）把網友當搖錢樹的今日，幾乎每個犯罪分子都想盡辦法來分一杯羹。回顧 3 月新增的三隻勒索病毒的新花招:

勒索病毒 Roza Locker 盯上遊戲玩家
Kirk 使用數位貨幣門羅幣 Monero（XMR）付款而非一般的比特幣（Bitcoin）
Karmen RaaS偽裝成「Helper」應用程式，一旦安裝就會執行典型的勒索病毒行為

勒索病毒Roza Locker 盯上遊戲玩家

勒索病毒 Ransomware (勒索軟體/綁架病毒)持續用惡意軟體來攻擊特定網路社群：遊戲玩家。Roza Locker（被偵測為RANSOM_ROZALOCK.A）是一種新的勒索病毒，針對俄語系的遊戲愛好者，會偽裝成電腦遊戲的安裝程式。開啟檔案之後，勒索病毒會要求提升權限好開始加密檔案。繼續閱讀

TorrentLocker 勒索病毒,利用雲端服務來躲避偵測/裝萌的勒索訊息,使用Python程式語言

2017 年 03 月 11 日2017 年 05 月 02 日趨勢科技 TrendMicro

一隻名為TorrentLocker的勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測，雖然該勒索病毒的行為跟之前並沒有太大不同，但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程（social engineering ）技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案（實際上是勒索病毒檔案）。

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意，在二月底出現了PyL33t（趨勢科技偵測為Ransom_PYLEET.A）和Pickles（趨勢科技偵測為Ransom_CRYPPYT.A）。

網路文化對PyL33t勒索病毒產生了重大影響，像是其勒贖通知使用Comics Sans這種似手寫的字體字體，使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上，它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦，它會加密檔案並用.EnCrYpTeD副檔名重新命名，將桌面改成上述訊息，並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知，內文要求1比特幣的昂貴贖金（約1,200美元）。解密程式也跟勒索病毒一起植入電腦；但想解密檔案需要密碼。