CryptoLocker - 資安趨勢部落格

中了勒索病毒怎麼辦?該不該付贖金? (內有免費解密工具 )

2016 年 05 月 26 日2020 年 03 月 09 日趨勢科技 TrendMicro

近來勒索病毒驚傳變種，透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰！ |
PC-cillin 雲端版“勒索剋星”可防範 WanaCry 等勒索病毒，保護珍貴檔案，防止電腦被綁架，快為您的電腦做好防護！
防範勒索病毒 PC-cillin 用戶請至這裡點選”免費體驗”即可免費升級至最新版本

台灣受駭創新高付錢不能保證檔案能取回

在臺灣有受駭案例，付錢後卻沒有救回檔案，甚至加碼更高的贖金,所以沒有人能夠保證付錢之後檔案可以救回來。支付贖金不僅是一種賭注,更會助長勒索病毒持續氾濫。何況付了款，不一定就能拿到解密金鑰。

在過去的六個月，就有超過50個勒索病毒新家族出現，而2014到2015年加起來也只有49個。如果你還覺得這些案例都是發生在國外,就算 FBI 說中招了只能付錢了事,還是覺得勒索病毒離自己很遙遠，一樣照追劇,照下載,照瀏覽新聞?但是現在你不可以置身事外了,台灣地區光5月遭勒索病毒攻擊人次高達50萬威脅,急增3倍,網路上常常出現類似的討論:

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,有粉絲在趨勢科技粉絲頁留言:

這並不是個案,無獨有偶的是有網友在論壇上求助,說想利用假日在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索病毒 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

也許你會說大不了重灌,但若是遇到像這位媽媽一樣,孩子的成長照片全被加密了,如果沒有備份的習慣,真的會令人很心急。

以下是勒索病毒威脅手法的演變:

【警訊】 LINE 也成為勒索病毒傳播的管道!!

中了勒索軟體該怎麼辦？「建議受害人付款了事」在一個網路安全高峰會上 FBI 如是表示,，此語一出即惹來了爭議。勒索軟體藏在郵件,藏在載點,藏在廣告裡…只要你上網,就有可能是它的覬覦目標。日前也傳出有網友用電腦版的 LINE 遇到假好友傳來的檔案,點下去就中毒整台電腦被綁架,要求支付 500 美金。

感染勒索病毒的四個主要症狀

感染勒索病毒時，勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案，然後在電腦上放置Ransom Note檔案（支付贖金的說明檔案）。因此，當下列症狀出現時，就有可能就是遭到勒索病毒感染：

出現不明對外連線
發現各目錄下開始出現奇怪副檔名的檔案，例如：.crypt、.ECC、.AAA、.XXX、.ZZZ等等
突然出現很多 Ransom Note檔案（支付贖金的說明檔案）或捷徑，通常是.txt檔或是.html檔，如下圖：
在瀏覽器工具列發現奇怪的捷徑，如下圖：

萬一中了勒索病毒怎麼辦?第一個動作:中斷網路連線 !!

繼續閱讀

勒索病毒,連警察局長辦公室也淪陷

2016 年 03 月 25 日2018 年 08 月 10 日趨勢科技 TrendMicro

警長辦公室硬碟遭到加密! 因為有人不小心從共用網路上下載了勒索病毒。猜猜看以下哪個是正確的 ?____
1.警察逮捕了歹徒
2.歹徒主動交出解密金鑰
3.警察竟付了贖金
4.FBI 追查並逮捕到歹徒

「你們的檔案都已被我加密，如果真的在乎這些數據，那麼建議你們別浪費寶貴時間，尋找不存在的解決方案」。在連續五天努力都未能解密之後，受害者無奈支付了數百美金贖金給勒索病毒 Ransomware 犯罪份子，而受害對象是警察。

本文末列舉的是 2015 年四月的例子,但這並非唯一的一個勒索病毒 Ransomware 挑戰執法單位的案例:

麻薩諸塞州 Swansea警察局在2013年支付了750美元贖金
伊利諾州 Midlothian警察局2015年支付了500美元
田納西州迪克森郡(Dickson County)治安官辦公室2015年支付了572美元。
阿拉巴馬州柯林斯維爾（Collinsville）警察局在 2015 年6 月被襲, ，導致罪犯照片資料庫被加密鎖定。駭客要求500美元贖金，但這家小鎮警局拒絕支付，而是放棄被綁架的檔案資料

加密勒索病毒看準警察局缺少IT專業人士,一再挑戰執法單位

犯罪份子鎖定美國小鎮警局,主要是看準他們人手不多，缺少IT專業人士，警察為了讓自己的工作儘快恢復正常的情況下,只能無奈選擇支付贖金。

今日的惡意程式和以往已大不相同。過去，使用者只需一套防毒軟體，或者依序執行某些步驟就能清除惡意程式的檔案和副作用，但今日的勒索病毒 Ransomware 可沒這麼好應付。勒索軟體是專為鎖住系統或某些檔案然後向使用者勒贖而設計，因此可說是場賭注：不是歹徒拿錢走人，就是受害者承受檔案全毀的代價。

雖然早期的勒索軟體變種 (尤其是那些單純只將電腦畫面鎖住的變種) 可以透過勒索軟體反制工具來解決，但一些較新的變種可就沒這麼容易對付。事實上，會將電腦系統鎖住「並且」將某些檔案加密的加密勒索軟體，可說是駭客的一招「死棋」，使用者一旦中招，立刻就陷入兩難的抉擇。

[延伸影片：勒索軟體如何運作：從感染到勒索]

沒有解密金鑰，就算勒索病毒 Ransomware被清除了，被加密的檔案還是救不回來

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)採用了現代化的加密技術，這些原本為了保護資料及通訊安全而發展出來的加密技術，會使用特殊的演算法來將檔案重新編碼，因此唯有擁有解密金鑰的人才能開啟或閱讀檔案內容。繼續閱讀

勒索軟體從 WordPress 蔓延至 Joomla

2016 年 02 月 24 日2016 年 03 月 07 日趨勢科技 TrendMicro

某個在 WordPress 上出現的惡意廣告行動，目前正試圖擴大版圖。據報導指出，歹徒正嘗試跨足不同平台，攻擊以 Joomla 架設的網站。根據資安研究人員 Brad Duncan 在網際網路風暴中心 (Internet Storm Center，簡稱 ISC) 網站上指出，在 WordPress上發動「admedia」攻擊行動的駭客團體目前正鎖定了一個新的目標，研究人員發現他們開始攻擊 Joomla 開放原始碼內容管理平台 (CMS)。

2016 年 1 月，受感染的 WordPress 網頁被植入了 admedia iframe，不僅可能在電腦上安裝後門程式，更可能將網頁瀏覽者導向含有漏洞攻擊套件的惡意網域，進而感染 TeslaCrypt勒索軟體 Ransomware 。根據 Duncan 指出，此攻擊行動第一次被發現時是在目標網站上植入 Nuclear 漏洞攻擊套件，但現在已改成植入Angler 漏洞攻擊套件。除此之外，歹徒的閘道網址也開始改用「megaadvertize」這個網域。

不過，其基本技巧還是不變：遭到感染的網站將被駭客入侵，並且在其 .js 檔案當中嵌入駭客的腳本 (script)。由於網頁在執行 JavaScript 程式碼時需要用到這些檔案，因此會將使用者導向 admedia 閘道。換句話說，網頁產生的 iframe 會打開一道從受感染的網站通向漏洞攻擊套件的路徑，進而讓電腦被植入 TeslaCrypt 勒索軟體 Ransomware 。勒索軟體目前仍是歹徒向不知情的受害者勒索錢財非常有效的一種惡意程式，而其發展速度亦無減緩的跡象。

儘管研究人員表示 Joomla 網站的感染數量仍不能和 WordPress 相比，但網站管理員仍不可掉以輕心。駭客入侵正常網站然後將它當成攻擊管道的情況似乎越來越流行，基於使用者對網站的信賴，這可以讓駭客感染到許多不知情的使用者。我們建議網站管理員務必定期修補其內容管理系統，並且隨時注意可能危及其使用者的最新威脅。

原文出處： Ransomware Crosses Over from WordPress to Joomla

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》