TorrentLocker - 資安趨勢部落格

勒索病毒TorrentLocker 變種,利用雲端服務散布

2017 年 04 月 07 日2017 年 05 月 02 日趨勢科技 TrendMicro

為何 TorrentLocker 勒索病毒最新變種,大多集中在平日出現，周末會暫時消失。上午 9 點至 10 點之間的感染數量會突然飆高?

TorrentLocker 勒索病毒在沉寂了好一陣子之後最近又開始活躍起來，出現了多個新的變種 (趨勢科技命名為 RANSOM_CRYPTLOCK.DLFLVV、RANSOM_CRYPTLOCK.DLFLVW、RANSOM_CRYPTLOCK.DLFLVS 及 RANSOM_CRYPTLOCK.DLFLVU)。這些新的變種會利用 Dropbox 帳號來散布，印證了我們的 2017 年預測：勒索病毒將持續演化出新的攻擊管道。

假冒供應商，寄送含Dropbox 連結的發票下載點

TorrentLocker的最新變種在行為上與趨勢科技之前所偵測到的類似，主要的差異只在於散布方式，以及惡意程式執行檔的包裝方式。

比方說，新的 TorrentLocker 變種在攻擊時，會先假冒受害者的供應商，用電子郵件寄一份發票給受害者。而這份「發票」不是隨信附上，而是透過一個 Dropbox 連結來下載。除此之外，為了增加郵件的真實性，郵件內容還包含了帳單、發票和帳戶編號等資訊。TorrentLocker之所以使用 Dropbox 連結，就是為了躲過郵件閘道防護產品的偵測，因為郵件當中不含附件，而是使用指向正派網站的連結。

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

繼續閱讀

TorrentLocker 勒索病毒,利用雲端服務來躲避偵測/裝萌的勒索訊息,使用Python程式語言

2017 年 03 月 11 日2017 年 05 月 02 日趨勢科技 TrendMicro

一隻名為TorrentLocker的勒索病毒 Ransomware (勒索軟體/綁架病毒), 利用Dropbox來躲避偵測，雖然該勒索病毒的行為跟之前並沒有太大不同，但是它新的散播方式會讓那些對網路釣魚攻擊缺乏認識的使用者造成威脅。

這些勒索病毒變種主要利用社交工程（social engineering ）技術誘騙不知情者,點擊內嵌在網路釣魚郵件內的Dropbox網址。這個網址會連至一個假收據檔案（實際上是勒索病毒檔案）。

裝萌的勒索訊息,使用Python程式語言

還有幾個使用Python程式語言的勒索病毒值得注意，在二月底出現了PyL33t（趨勢科技偵測為Ransom_PYLEET.A）和Pickles（趨勢科技偵測為Ransom_CRYPPYT.A）。

網路文化對PyL33t勒索病毒產生了重大影響，像是其勒贖通知使用Comics Sans這種似手寫的字體字體，使用1337端口及加密檔案的.d4nk副檔名。一旦PyL33t被下載跟執行在受害者電腦上，它會加密使用.docx、.jpg和.xlxs等副檔名的檔案。

Pickles(醃黃瓜)是另一個使用Python勒索病毒。一旦Pickles感染了受害者電腦，它會加密檔案並用.EnCrYpTeD副檔名重新命名，將桌面改成上述訊息，並且植入檔名為READ_ME_TO_DECRYPT.TXT的勒贖通知，內文要求1比特幣的昂貴贖金（約1,200美元）。解密程式也跟勒索病毒一起植入電腦；但想解密檔案需要密碼。

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標，業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質，重要的是能夠具備主動式、多層次的安全防護：從閘道、端點、網路到伺服器。

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

電子郵件和閘道防護

趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道，如電子郵件和網頁。

魚叉式網路釣魚防護
惡意軟體沙箱
IP/網頁信譽評比技術
檔案漏洞攻擊偵測

端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

勒索病毒行為監控
應用程式控管
漏洞防護
網頁安全

網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

網路流量掃描
惡意軟體沙箱
防止橫向移動

伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

保護網頁伺服器
漏洞防護
防止橫向移動

保護中小企業和家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護，偵測和封鎖勒索病毒。

勒索病毒行為監控
IP/網頁信譽評比技術

保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

IP/網頁信譽評比技術
勒索病毒防護

大型企業》
中小企業》
一般用戶》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

【勒索軟體】鎖定中小企業的TorrentLocker和CryptoWall改變戰術

2015 年 10 月 27 日2015 年 10 月 27 日趨勢科技 TrendMicro

勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外，將攻擊延伸到中小企業（SMB）。這區塊是勒索軟體 Ransomware很好的潛在目標，因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。

此外，中小企業也不太可能具備如大型企業那樣全面的備份方案，增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。

這轉變中我們所看到最明顯的例子是TorrentLocker和CryptoWall，這是現今最持久也最大量的勒索軟體 Ransomware變種。

從2015年六到七月，趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。

多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶.... — 多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶….

繼續閱讀

加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

2015 年 07 月 13 日2015 年 07 月 13 日趨勢科技 TrendMicro

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加，特別是英國和土耳其。從5月上旬到6月10日，TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期（6月10日至6月28日），我們看到這種威脅再次出現。

在2014年底， TorrentLocker勒索軟體 Ransomware在義大利傳出疫情。澳洲也曾是這些攻擊的主要目標（雖然其他國家也有受到影響），但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業（如英國天然氣）和政府機構（如內政部或司法部）。

這會導致連到這些單位的假網站，要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上；這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下：

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱，還有電信公司（已知的例子包括SDA Express、Pozcta、Correo和Turkcell）。對澳洲使用者的攻擊已經變平靜，使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務（如澳洲的Couriers Please和Pack & Send）也遭到利用。

這些檔案所放置的地方也有所改變：之前它們放在檔案儲存網站，像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall（另一個加密勒索軟體家族）現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱（和使用的社交工程（social engineering ）誘餌）列在下表中:

繼續閱讀

TorrentLocker 勒索軟體肆虐紐澳地區

2015 年 01 月 26 日2015 年 10 月 02 日趨勢科技 TrendMicro

趨勢科技最近報導了 EMEA（歐洲、中東和非洲）地區出現勒索軟體 Ransomware大量激增，特別是加密勒索軟體攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示，紐澳地區最近也受到此類惡意軟體的影響，這次是TorrentLocker勒索軟體。

感染鏈

圖一、紐澳地區攻擊的感染鏈圖解

這惡意軟體透過電子郵件到達，偽裝成來自新南威爾士州政府（在此篇裡簡稱為NSW）的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁，使用類似官方名稱的新註冊網域。

這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確，就會下載來自檔案代管網站（SendSpace）的壓縮格式惡意檔案。

一旦使用者打開壓縮檔並執行惡意程式，它會連到指揮和控制（C＆C）伺服器。收發資訊成功後，惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案，並且加上.encrypted副檔名。接著，它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製（Shadow Copy），防止使用者從備份回復檔案。

根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料，有98.28%的收件者來自澳洲。

比特幣付款

為了支付贖金，使用者需要註冊一個比特幣（Bitcoin）錢包和從建議連結購買比特幣。一旦完成付款，網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址，他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦；每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。

受此惡意軟體感染的使用者被分配如下格式的代碼：