Locky - 資安趨勢部落格

” 你有一個新的語音留言通知 ” Locky 勒索病毒留的!

2017 年 10 月 17 日2017 年 10 月 17 日趨勢科技 TrendMicro

提到 Locky ,不得不提到這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,去年四月在台灣傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態，造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆。

2016年底它藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 ! Locky 勒索病毒變種來襲!鎖定廣告伺服器,台灣遭攻擊排行第一。
現在 Locky 勒索病毒有了新伎倆:假語音留言通知。

垃圾郵件會通知收件者有未知來源所留的語音留言，要求受害人有時間時要去檢查留言。接著，郵件會提供收件者一個收聽留言的連結，或附加一個聲稱為語音留言的壓縮檔。當然，點開連結或附件檔案後就會讓 Locky 勒索病毒危害使用者的系統和檔案。

趨勢科技的解決方案可以識別和封鎖這個垃圾郵件攻擊的各個面向，從垃圾郵件變種到有效載荷和連結。趨勢科技客戶具備完整的保護來對抗此垃圾郵件攻擊內的所有元素。

再次提醒使用者不要點開可疑電子郵件及其內的連結/附件檔。

@原文出處：Voice Message Malspam Arrives With Locky Ransomware

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

勒索病毒 Locky 結盟 FakeGlobe 聯手出擊，垃圾郵件危險情勢升高

2017 年 09 月 26 日2017 年 09 月 22 日趨勢科技 TrendMicro

九月初，趨勢科技偵測到數量相當可觀的垃圾郵件活動，專門散播 Locky 勒索病毒最新變種。Locky 是一個相當知名的勒索病毒 Ransomware (勒索軟體/綁架病毒)，首次發現於 2016 年初，然而它至今仍在持續演進，並經由多種不同的管道散布，尤其是透過垃圾郵件。我們仔細分析了近期垃圾郵件行動當中所蒐集到的樣本之後發現，網路犯罪集團使用了相當複雜精密的散布技巧，受害者遍布全球 70 多個國家。

在本文介紹的垃圾郵件行動中，歹徒交錯使用了兩種勒索病毒：Locky 和 FakeGlobe。他們會根據使用者點選郵件內惡意連結的時間來決定要提供 Locky 還是 FakeGlobe。因此使用者有可能重複感染兩種勒索病毒。

全球分布狀況與垃圾郵件行動分析

圖 1：第一波垃圾郵件分布情況。

圖 2：第一波垃圾郵件樣本。

此樣本肆虐最嚴重的地區為日本、中國和美國；另有 45% 的數量分散全球其他 70 多個國家，這波垃圾郵件的高峰期大約在 2017 年 9 月 4 日上午 10 點左右 (UTC+4)。這段期間，我們總共大約攔截了 298,000 封垃圾郵件。繼續閱讀

感染勒索病毒的四個主要症狀與緊急措施

2016 年 12 月 08 日2023 年 10 月 14 日趨勢科技 TrendMicro

2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門，以影響企業營運及消費者資安甚鉅的網路勒索為例，趨勢科技團隊統計截至今年第三季為止，全球網路勒索總攻擊次數已超過 1.8 億次，台灣受害排名則高居全球第 16，受攻擊總數逼近 300 萬大關¹ ，FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約 100,000 台電腦²。

Locky 先盜用Facebook帳號，再以私訊假冒好友分享偽造的圖片

近日傳出勒索病毒駭人新手法,先盜用Facebook帳號，再以私訊假冒好友分享偽造的圖片，誘拐被害者下載惡意瀏覽器外掛，再暗中植入惡名昭彰的勒索病毒 Locky。

提到 Locky ,不得不提到年初的這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態，造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

追劇竟成悲劇! Cerber 勒索病毒透過惡意廣告散播，台灣已成重災區

許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:

“最近我同事只是追劇而已就中招,整個電腦資料全毀….”

這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了Cerber　勒索軟體 Ransomware，並被要求支付約台幣1.7 萬的比特幣（Bitcoin）才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “

提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。

到底感染勒索病毒時會出現什麼症狀?在第一時間該如何緊急處理?我們來重點複習一下:

感染勒索病毒的四個主要症狀

感染勒索病毒時，勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案，然後在電腦上放置Ransom Note檔案（支付贖金的說明檔案）。因此，當下列症狀出現時，就有可能就是遭到勒索病毒感染：

出現不明對外連線
各目錄下開始出現奇怪副檔名的檔案，例如：.crypt、.ECC、.AAA、.XXX、.ZZZ等等
突然出現很多 Ransom Note檔案（支付贖金的說明檔案）或捷徑，通常是.txt檔或是.html檔，如下圖：
在瀏覽器工具列發現奇怪的捷徑，如下圖：

繼續閱讀

Locky 勒索病毒變種來襲!鎖定廣告伺服器,台灣遭攻擊排行第一 !

2016 年 11 月 15 日2016 年 11 月 24 日趨勢科技 TrendMicro

在本文發文幾天後, 勒索病毒LOCKY 傳出一波新的散播方式，駭客先盜用Facebook帳號，再以私訊分享偽造的圖片，誘拐被害者下載惡意瀏覽器外掛，再暗中植入Locky > 相關報導 (11/23 更新)

現在它的變種又來了,藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

最新漏洞攻擊套件:「Bizarro Sundown」,散布新型 Locky 勒索病毒,使用 181 個遭到入侵的網站來散布惡意程式

最近出現了一個新的漏洞攻擊套件專門散布新版的 Locky 勒索病毒 Ransomware (勒索軟體/綁架病毒),這個新的漏洞攻擊套件稱為「Bizarro Sundown」，其第一個版本出現在 10 月 5 日，隨後在 10 月 19 日又再度出現第二個版本。此威脅的主要受害者分布在台灣和韓國。Bizarro Sundown 和其前身 Sundown 在功能上有諸多雷同之處，但卻增加了一些妨礙分析的功能。在 10 月 19 日的攻擊當中，其網址已修改得很像正常的網站廣告網址。這第二個版本被稱為「GreenFlash Sundown」。兩個版本都只出現在一個稱為「 ShadowGate/WordsJS」的攻擊行動當中。

專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器

ShadowGate 攻擊行動在 2015 年首次現身，專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器。這些伺服器一旦遭到入侵，就會成為漏洞攻擊套件散布惡意程式的門戶。此攻擊活動相關的一些網域之前曾經遭到封鎖。但最近，趨勢科技發現該攻擊行動又使用了 181 個遭到入侵的網站來散布惡意程式。今年 9 月， ShadowGate 利用 Neutrino 漏洞攻擊套件來散布 Locky 勒索病毒變種 (被加密的檔案副檔名為「 .zepto」)。10 月 5 日，這項攻擊改用 Bizarro Sundown 漏洞攻擊套件。兩星期後 (也就是 10 月 19 日)，Bizarro Sundown 出現修改後的版本 (也就是 GreenFlash Sundown)。

攻擊行動會在周末暫停重新導向的動作，並且暫時移除受害網站上專門用來重導使用者的腳本

Bizarro Sundown 的受害者數量變化頗令人玩味：其受害者數量在周末會下降為零。

趨勢科技觀察到 ShadowGate 攻擊行動會在周末期間暫停重新導向的動作，並且暫時移除受害網站上專門用來重導使用者的腳本，等到上班日才又恢復正常。在分布情況方面，半數以上的受害者都在台灣和韓國。其次是德國、義大利和中國。

繼續閱讀

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

2016 年 07 月 27 日2016 年 08 月 03 日趨勢科技 TrendMicro

Zepto 是一個最近隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

根據 Cisco Talos 威脅情報中心的報告，這波挾帶勒索病毒的垃圾郵件行動從 6 月 27 日開始採用一套新的檔案命名方式 (「swift [XXX|XXXX].js」)，並且運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

【延伸閱讀:勒索病毒竟知道你家地址? 】

在某個二進位惡意程式下載並執行之後，本機上的所有檔案都會被加密，接著惡意程式會顯示一個訊息，要求受害者支付一定的比特幣（Bitcoin）作為贖金。使用者看到的指示畫面是由惡意程式在電腦上植入的一個 .HTML 檔案和一個影像檔案所組成，同時桌面背景/桌布也會被換掉。在大規模垃圾郵件行動的推波助瀾下，Zepto 似乎獲得了不錯的成果，不過大多數的勒索病毒都是經由其他管道散布。

與 Locky 的淵源

Zepto 與 Locky (趨勢科技命名為 RANSOM_LOCKY.A) 在技術上頗有相似之處，他們都是經由垃圾郵件散布，並且使用 RSA 加密來鎖住檔案。Locky 自從 2016 年 2 月現身以來，即不斷演進，並且成功擄獲不少個人及企業受害者，除此之外更曾經出現在多起針對醫療院所的重大勒索病毒攻擊。繼續閱讀