全球爆發 Petya 勒索病毒!請持續使用PC-cillin雲端版有效防範 (現有用戶免費升級)

請注意!Petya 勒索病毒正在全球肆虐,此病毒利用相同於WannaCry(想哭)勒索蠕蟲的微軟弱點攻擊電腦,並惡意加密檔案,藉以勒索高額贖金。。
PC-cillin已能成功阻擋此病毒!若您的 PC-cillin已經到期,建議您立即續約並免費更新至最新版PC-cillin2017,以防範此新型勒索病毒攻擊,保護電腦免於遭到駭客綁架,導致重大財損。
 
            ※適用於Windows 作業系統,且PC-cillin 序號開頭為”X”者
勒索病毒攻擊事件說明:
•  勒索病毒名稱: Ransom_PETYA
•  攻擊方式:攻擊微軟的安全性弱點:MS17-010 – Eternalblue。
•  防範方式:強烈建議盡速備份、更新PC-cillin並啟動勒索剋星、更新微軟系統
•  了解更多Petya勒索病毒

PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅》即刻免費下載

 


 

《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue”永恆之藍”漏洞,三步驟防範感染

有一波大規模的 Petya 勒索病毒變種四處肆虐當中,目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA,相比五月造成全球大恐慌的WannaCry勒索病毒,Petya 散播的管道主要有兩種:其一為同樣利用透過微軟的安全性弱點:MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊,而與上次WannaCry不同的是,本次 Petya入侵電腦後,會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。

去年趨勢科技資安部落格曾經介紹過Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!該惡意程式透過發散布一封看似要應徵某項工作的電子郵件散播,受害電腦會出現藍色當機畫面,一旦電腦重新開機時會顯示骷髏頭畫面勒索訊息。這次爆發的變種讓歐洲國家重災區,報導指出多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

 

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具,以「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染:

  1. 套用 MS17-010 修補更新
    無論是企業用戶或是消費者,都建議安裝更新電腦作業系統最新的修補程式,尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ,正確配置SMB服務才能免於受到此次攻擊影響。
  2. 停用 TCP 連接埠 445 ( 請參考)
  3. 企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外,趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能,目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅,一有最新情況就會立即更新訊息。

感染過程

前面提到,該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動,並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。 繼續閱讀

【警訊】Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!

勒索軟體又以"履歷表"為餌,以 Dropbox 為傳播管道,假求職真駭人
勒索軟體又以”履歷表”為餌,以 Dropbox 為傳播管道,假求職真駭人

打開電腦,骷髏頭畫面現身 ?!

趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊,此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件PCC2016_1Y3U_TW box,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。

針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。

 

 

 

當機重開機卻出現骷髏頭畫面,當心被勒索軟體盯上了

勒索軟體 Ransomware犯罪集團似乎覺得,光是將檔案加密還不足以逼迫使用者,因此,現在他們又開發了一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

感染了加密勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面
圖 1:感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

 

這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

這並非惡意程式首次利用合法服務來從事不法行為,但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。

感染過程:求職信內含一個指向 下載履歷表的]Dropbox連結,求指者的照片是盜用的

研究人員指出,Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件,信件內含一個指向 Dropbox 雲端空間的連結,可讓收件人用來下載求職者的履歷表。

在我們分析到的一個樣本中,此連結指向一個 Dropbox 資料夾,內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,我們發現該照片應該是從網路上盜來的圖片。

Dropbox 資料夾內的假履歷表的照片是網路上偷來的
圖 2:Dropbox 資料夾內的假履歷表的照片是網路上偷來的

繼續閱讀