勒索軟體 | 捕夢網 Blog

鴻海Foxconn墨西哥廠房遭勒索軟體攻擊! 1400臺伺服器被加密

pumoadmin55 — Thu, 10 Dec 2020 08:36:15 +0000

台灣知名大型企業頻頻遭駭客攻擊

公司機密客戶資料外洩成隱憂! 慘遭駭客求支付贖金如何有本事不給錢?

根據國外知名資安網站Bleeping Computer於台灣時間12月8日報導，全球最大的電子製造業者台灣鴻海（Foxconn）於墨西哥華雷斯城（Ciudad Juárez）CTBG工廠，在11月29日感恩節周末遭到DoppelPaymer勒索軟體攻擊加密並要求支付贖金價值約3400萬美元(1804.0955枚比特幣贖金)。

下圖為遭攻擊發生後Foxconn CTBG的官網已呈現HTTP 404的錯誤狀態。駭客在加密系統檔案之前先下載了檔案，並在12月7日於其資料外洩網站公布了部份的資料。

DoppelPaymer 承認入侵鴻海

Bleeping Computer甚至直接與駭客DoppelPaymer 取得了聯繫，他們於 11 月 29 日攻擊了鴻海工廠，並竊取了北美（NA）地區的資料，並刪除了 30 TB 的資料。

該駭客說道：

我們加密了大約是 1,200 ~1,400 台伺服器，竊取了100GB的檔案… 也刪除了他們大約 20~30 TB 備份資料。

此外，來自資安人士消息來源亦與分享了駭客於鴻海伺服器上留下的勒索信件，要求鴻海支付贖金以換得解密金鑰及所下載的備份資料。

最近臺灣大型製造商相繼淪為勒索軟體的受害者，從仁寶、研華到鴻海，其中，仁寶直接否認遭到勒索軟體攻擊，而研華則未揭露被駭事件是否涉及勒索軟體。

企業資安問題明顯成隱憂捕夢網幫您解決!

捕夢網Deep Security

捕夢網Data Safe 防勒索保護資料

捕夢網Sophos端點保護

文章參考處

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

https://www.ithome.com.tw/news/141517

https://www.blocktempo.com/foxconn-hacked-asking-1804btc-as-ransome/

The post 鴻海Foxconn墨西哥廠房遭勒索軟體攻擊! 1400臺伺服器被加密 first appeared on 捕夢網 Blog.

惡意軟體分類大全

pumoadmin55 — Tue, 14 May 2019 03:21:12 +0000

覺得自己很瞭解惡意軟體？恐怕你的惡意軟體認知需要更新一下了。如何找出和清除惡意軟體也有一些基本的建議可供參考。安全術語層出不窮，能夠正確分類惡意軟體，並知道各類惡意軟體的不同傳播方式，有助於限制和清除這些作惡的小東西。

下面這份簡明惡意軟體大全，能讓你在專家面前顯得很專業。

病毒

電腦病毒是大多數媒體和普通使用者對全部惡意軟體程式的統稱。幸好大多數惡意軟體程式並不是電腦病毒。電腦病毒能夠修改其他合法主機檔案，當受害主機檔案被執行時，病毒自身也能同時一併運行。

純電腦病毒如今不太常見了，在所有惡意軟體中佔不到10%。這是件好事：電腦病毒是唯一一種能夠感染其他檔案的惡意軟體。因為是跟著合法程式執行，此類惡意軟體特別難以清除。最好的防毒軟體也難以將電腦病毒與合法程式分開，絕大多數情況下都是簡單地隔離和刪除被感染的檔案。

蠕蟲

蠕蟲的歷史比電腦病毒更加悠久，要追溯到大型主機時代。上世紀90年代末期，電子郵件將電腦蠕蟲帶到大眾視野當中；近十年時間裡，隨電子郵件附件湧來的各種蠕蟲將電腦安全專家團團包圍。只要一名員工打開了一封帶有蠕蟲的電子郵件，整個公司都會被很快感染。

蠕蟲最顯著的特徵就是自我複製能力。以臭名昭著的“Iloveyou”蠕蟲為例：爆發時，世界上幾乎每一位電子郵件使用者都遭到了襲擊，電話系統超載，電視網路當機，甚至晚報都被延遲了半天。其他幾個蠕蟲，包括SQL Slammer和MS Blaster。讓蠕蟲在電腦安全的歷史上佔了一席之地。

蠕蟲的破壞性來源於其無需終端使用者操作的傳播能力。與之相對，電腦病毒則需要終端使用者至少點擊一下，才可以感染其他的無辜軟體和使用者。蠕蟲利用其他檔案和程式來幹感染無辜受害者的帳戶。舉個例子，利用微軟SQL中的一個漏洞 (已修復)，SQL Slammer 蠕蟲在約10分鐘之內在幾乎每一台沒有修補的SQL伺服器上引發了緩衝區溢位——該傳播速度紀錄至今未破。

木馬

電腦蠕蟲已經被特洛伊木馬惡意軟體程式替代，成為了駭客的網路攻擊武器之首選。木馬偽裝成合法程式，但攜帶惡意指令。病毒恒久遠，木馬永流傳。如今的電腦上，木馬比其他任何一種惡意軟體都常見。

特洛伊木馬要受害用戶點擊執行之後才可以進行惡意操作。木馬程式通常透過電子郵件傳遞，或者在用戶訪問被感染網站時推送。偽裝成防毒軟體的木馬最為流行。此類木馬會彈出一個對話視窗，宣稱用戶已經遭到了感染，然後指示使用者去執行某個程式以清掃電腦。用戶一旦聽令行事，木馬就會在使用者的系統中紮根了。

木馬難以防禦的原因主要有兩個：易於編寫 (網路罪犯常製作和販售木馬構建工具包)，以及便於通過欺騙終端使用者來傳播—補丁、防火牆和其他傳統防禦措施都擋不住終端使用者的手賤。惡意軟體編寫者每個月都能產出數百萬個木馬。反惡意軟體供應商已在盡力對抗，但特徵碼實在太多，無暇兼顧。

混合型惡意軟體

時至今日，絕大多數惡意軟體都是傳統惡意程式的綜合體，往往既有木馬和蠕蟲的部分，有時也兼具病毒的特徵。惡意軟體程式呈現在終端使用者面前時還是木馬的樣子，一旦執行，便會通過網路攻擊其他受害者，就像蠕蟲一樣。

今天的很多惡意軟體程式都可被認為是rootkits或隱藏程式。惡意軟體程式往往會嘗試修改底層作業系統以獲取最終控制權，並繞過反惡意軟體程式的檢測。想擺脫此類惡意程式，使用者必須從記憶體中清除其控制元件——從反惡意軟體掃描開始。

機器人程式一般都是木馬/蠕蟲的組合，試圖將每一個被利用的用戶端集結起來，組成一個更大的惡意程式網路——僵屍網路。僵屍網路的主人擁有一台或多台“命令與控制(C&C)”伺服器，僵屍用戶端會向這些C&C伺服器報到，接收伺服器上發佈的指令。僵屍網路的規模有大有小，從數千台被駭電腦，到由數十萬台被駭系統組成的巨大網路都有。這些僵屍網路往往被出租給其他網路罪犯，再由這些網路罪犯利用僵屍網路去執行他們各自的惡意企圖。

勒索軟體

最近幾年裡，通過加密使用者資料來索要贖金的惡意軟體廣為流行，且此類惡意軟體的所占比例還在擴大。勒索軟體往往能使公司企業、醫療機構、司法機關，甚至整個城市的運轉陷入癱瘓。

大部分勒索軟體都是木馬，也就是說必須通過某種形式的社交工程方法進行傳播。一旦成功植入並運行起來，大部分勒索軟體都會在數分鐘裡尋找並加密用戶的檔案，少數勒索軟體則會採取“等待觀望”的戰術。通過在啟動加密流程前花幾小時觀察使用者，勒索軟體管理員可以算出受害者的贖金承受能力，並確保刪除或加密其他份的備份檔案。

與其他類型的惡意程式相同，勒索軟體是可以被預防的。但如果沒有有效的備份檔案，一旦中招，就很難再逆轉勒索軟體造成的破壞了。研究顯示，約1/4的受害者選擇支付贖金，其中約30%即便支付了贖金也未能解鎖自己已經被鎖定的檔案。無論如何，想要解鎖被加密的檔，即便有可能，也需要特定的工具、解密金鑰，以及很多很多的運氣。對付勒索軟體最行之有效的建議，就是確保所有關鍵檔案都有良好的離線備份。

無檔案病毒

準確來講，無檔案病毒並不能真算是一種單獨的惡意軟體類型，更像是對該惡意軟體如何進行漏洞利用和在受害主機上駐留的一種描述。傳統惡意軟體利用檔案系統進行橫向移動和感染新的系統。如今在惡意軟體占比中超過50%以上的無檔案惡意軟體，則並不直接利用檔案和檔案系統。這種惡意軟體只在記憶體中進行漏洞利用和傳播，或者使用其他的非檔案類作業系統物件，比如登錄檔、API，或者計畫任務。

很多無檔案病毒攻擊從利用已存在的合法進程變身新啟動的“子進程”開始，或者利用作業系統中自帶的合法工具，比如微軟的PowerShell。最終結果就是無檔案攻擊更難以檢測和阻止。如果你想謀求一份電腦安全職位，那你最好儘快熟悉常見的無檔案攻擊技術和程式。

廣告軟體

只遇到過廣告軟體的人都是幸運的。這種軟體僅僅是向被駭終端使用者呈現不願接收的潛在惡意廣告。常見廣告軟體可能會將使用者的流覽器搜索重定向到看起來長得很像但包含其他產品推送的頁面。

惡意廣告

惡意廣告與廣告軟體不同，惡意廣告攻擊是利用合法廣告和廣告網路秘密投送惡意軟體到使用者的電腦。舉個例子，網路罪犯可能會在合法網站上投放一個廣告。當用戶點擊這個廣告，廣告中隱藏的代碼要麼將用戶重定向到惡意網站，要麼直接在他們的電腦上安裝惡意軟體。某些情況下，廣告中嵌入的惡意軟體可能無需使用者操作就能自動執行，這種技術被稱為 “路過式下載”。

網路罪犯也會利用被黑合法廣告網路向很多網站投送廣告。這也是為什麼《紐約時報》、Spotify和倫敦股交所之類流行網站常會淪為惡意廣告載體的原因。

網路罪犯使用惡意廣告當然是為了賺錢。惡意廣告能夠投送任意類型的撈錢惡意軟體，包括勒索軟體、加密貨幣挖礦腳本，或者銀行木馬。

間諜軟體

間諜軟體常被人用來查看自己所愛之人的電腦活動。當然，在針對性攻擊裡，網路罪犯也會運用間諜軟體記錄下受害者的擊鍵動作，獲取登錄口令和智慧財產權。

廣告軟體和間諜軟體程式通常是最容易清除的，因為此類軟體的目的不像其他類型的惡意軟體那麼兇狠。找到此類軟體的惡意執行程式，停止進程，阻止啟動，也就清除了威脅。

廣告軟體和間諜軟體中存在的更大顧慮，是它們利用電腦和使用者的機制，可能是社交工程、未經修補的軟體，或者其他十來種root許可權利用途徑。間諜軟體和廣告軟體目的雖然不像遠端存取木馬後門那麼邪惡，但都利用了同一套入侵方法。廣告軟體和間諜軟體的存在，應該被當成設備或使用者已有某種漏洞的早期警報，在真正的傷害造成前加以修復。

找出並清除惡意軟體

今天，很多惡意軟體都以木馬和蠕蟲的形式出現，然後連結回一個僵屍網路，讓攻擊者進入受害者的電腦和網路。很多進階持續性威脅的APT攻擊的運作流程如下：使用木馬獲取初始立足點，以便進入到成百上千家公司，搜尋感興趣的智慧財產權。絕大多數惡意軟體都是為了盜取金錢—直接清空一個銀行帳戶，或者通過盜取指令或身份來間接獲取。

如果你夠走運，你會發現利用微軟自動運行、進程管理器或 Silent Runners 的惡意可執行程式。如果惡意軟體是隱藏式的，你就得先從記憶體中清除掉隱藏元件，然後再分辨出該惡意程式的其他部分。可通過進入微軟Windows安全模式來清除可疑隱藏元件(有時候改個檔案名就行)，然後多運行幾次防毒軟體來清除遺留檔案，也可以利用進程管理器來發現並清除惡意軟體。

不幸的是，找到並清除單一個惡意軟體元件可能是在白費勁，很容易找錯或漏掉元件。而且，你並不清楚惡意軟體有沒有將系統修改成無法重回完全可信的狀態。

除非你有上過專門惡意軟體清除課程和取得專業證照，否則最好在發現電腦感染了惡意軟體時，立即備份資料、格式化硬碟，並重新安裝程式和資料。注意隨時更新修補程式，確保終端使用者知道自己都做錯了什麼。這樣你才能獲得一個可信的電腦平臺，不留任何風險和問題地在資安安全戰場上繼續前行。

The post 惡意軟體分類大全 first appeared on 捕夢網 Blog.

另類勒索攻擊！勒索軟體攻擊方式不只賣萌，還教導資安知識

pumoadmin55 — Tue, 11 Jul 2017 06:03:34 +0000

勒索軟體CryptoSpider只出現一隻貓咪，告知受害者被感染了，但沒有任何勒索資訊

大部分勒索軟體攻擊受害者裝置的方式，除了加密受害裝置檔案，造成受害者無法開啟之外，也有鎖定電腦、行動裝置，以及智慧電視螢幕，讓受害者不能操作任何動作，威脅受害者支付指定的勒贖金額，才「可能」願意解鎖或解密檔案。

但根據趨勢科技於7月5日在官方部落格表示，近來發現2款另類的勒索軟體，一個出現動畫「彩虹小馬」警告受害者遭感染，但不加密任何受害裝置的檔案，另一個派出黃色小貓向受害者發出勒索訊息，卻不要求任何贖金，此外，先前還有威脅受害者看完資安文章，才願意解密的勒索軟體。

勒索軟體Virus：派擾人彩虹小馬向受害者勒索贖金

趨勢科技研究人員解釋，受害者遭勒索軟體Virus攻擊後，螢幕會出現含知名卡通「彩虹小馬（My Little Pony）」的勒索信，要求受害者支付300個比特幣（約新臺幣2,382萬元）。

此外，資訊部落格BleepingComputer在推特表明，Virus是在今年6月中才開始出現，而且根據螢幕上勒索信內容顯示，受害者若未支付贖金，Virus會在30小時內刪除所有受害電腦內的檔案。

然而，Virus發動攻擊的方式並非加密受害電腦內的檔案，也不會鎖定螢幕，只有一直出現彩虹小馬勒索訊息的畫面，所以目前還無法得知Virus作者是否會刪除受害者的檔案。

圖說：BleepingComputer在推特表示，勒索軟體Virus是要送給「彩虹小馬」的粉絲，除擾人的訊息外，不會利用加密檔案來威脅。圖片來源：BleepingComputer

勒索軟體CryptoSpider：黃色小貓只加密，不要錢

另一個由勒索軟體Hidden Tear變種的新勒索軟體CryptoSpider，趨勢科技人員解釋，受害者遭到CryptoSpider感染後，螢幕會出現一隻黃色小貓的圖案，貓咪頭上的白色看板顯示，受害者已遭「./Mr-Ghost-44」駭入。

不僅如此，根據MalwareHunterTeam說明，CryptoSpider會加密受害電腦的檔案，並更改副檔名為「.Cspider」。但是，CryptoSpider勒索信內容沒有顯示任何的勒索資訊，例如勒索贖金的多寡、支付方式或是解密方式等，受害者就算想支付贖金來解密，也沒有管道執行。

圖說：MalwareHunterTeam在6月中發現勒索軟體CryptoSpider，勒索內容只有一隻黃色小貓警告受害者遭到感染外，沒有任何支付贖金訊息。

勒索軟體RensenWare：強迫受害者玩射擊遊戲達到條件才解密

MalwareHunterTeam在今年4月發現一支勒索軟體RensenWare，駭客幫助受害者解密的方式，並非要求受害者支付贖金才願意解密，而是強迫受害者玩射擊遊戲「東方星蓮船～Undefined Fantastic Object.」得分數超過2億分才解密，若沒有達到條件，就會立即刪除遭加密的檔案，例如音樂檔、圖片檔和Office文件檔。

RensenWare作者曾向MalwareHunterTeam解釋，開發RensenWare目的是為了凸顯勒索攻擊的新形式，而非向受害者勒索贖金，表示RensenWare僅是一個惡作劇的勒索軟體，並不希望受害者支付贖金。

圖說：RensenWare作者表示，他不要求受害者支付贖金，但強迫受害者玩指定射擊遊戲達到規定的分數，才願意解密。圖片來源：MalwareHunterTeam

勒索軟體Kindest：中招了嗎？先教授勒索軟體的運作方式再幫受害者解密

根據國外資安媒體報導，同樣與勒索軟體CryptoSpider、RensenWare一樣，由勒索軟體Hidden Tear變種的勒索軟體Kindest感染受害裝置後，立即使用AES演算法加密受害者的檔案，包括圖片檔、文件檔和執行檔（.exe），要求受害者需要看完一則探討勒索軟體運作方式的YouTube影片「Ransomware As Fast As Possible」，才願意幫受害者解密。

https://www.youtube.com/watch?v=shDgBHUXnr8

勒索軟體Kindest作者指定受害者觀看Youtube影片，才提供解密金鑰。

然而，另一家資安新聞網站Spyware-Techie表示，雖然駭客宣稱觀看影片結束會幫助受害者解密，但他們研究團隊測試發現，駭客加密了受害裝置的所有檔案，而且並未遵守勒索信承諾，協助他們解除遭加密的檔案，僅能重新開機利用系統還原程式來恢復部分檔案。

圖說：勒索軟體Kindest要求受害者觀看指定YouTube影片，才願意幫助受害者解密。圖片來源：趨勢科技

勒索軟體Koovla：看完2篇資安文章，才提供受害者解密金鑰

BleepingComputer的資安研究人員Michael Gillespie於去年底發現勒索軟體Koovla，宣稱是勒索軟體Jigsaw比較善良的雙胞胎兄弟，受害者電腦檔案遭到加密後，不需要支付任何贖金，僅閱讀2篇出自Google資安部落格與BleepingComputer作者Lawrence Abrams的一篇資安文章，才願意幫助受害者解密，否則未在指定時間內閱讀，立即刪除遭加密的檔案。

研究人員測試發現，勒索訊息原先無法點擊的「Decripta i Miei File」選項，閱讀指定2篇文章後，變更成可以點擊的情形，來提供受害者解密金鑰。Lawrence Abrams表示，Koovla尚未開發完成，未來還會有更多的Koovla變體出現。

圖說：研究人員測試發現，勒索軟體Koovla作者確實遵守承諾，受害者閱讀2篇資安文章後，立即提供解密金鑰。

文章來源: http://www.ithome.com.tw/news/115434

圖片來源: https://pixabay.com/

The post 另類勒索攻擊！勒索軟體攻擊方式不只賣萌，還教導資安知識 first appeared on 捕夢網 Blog.

WannaCry 勒索病毒預警

pumoadmin55 — Fri, 19 May 2017 01:55:08 +0000

WannaCry 勒索軟體於 2017 年 5 月橫掃全球。瞭解此勒索軟體的攻擊如何蔓延，以及如何保護您的網路以避免類似的攻擊。

更新時間：2017 年 5 月 15 日格林威治標準時間 23:24:21：

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯：

已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生：賽門鐵克在已感染早期版本 WannaCry 的電腦上，發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法，但尚未證實。
共用的程式碼：Google 的 Neel Mehta 在發佈的推文中表示，已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼，目前為止只有在 Lazarus 工具 (包括 Contopee 與 Brambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯，當我們認為其相關性有必要進一步調查。如有任何進展，我們將持續分享研究結果。

自 5 月 12 日週五起，一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險，因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦，將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中，最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞，該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊？

透過結合多項技術，可自動保護免於遭受 WannaCry 病毒的攻擊。

主動保護由以下技術提供：

IPS 網路保護
SONAR 行為偵測技術
先進機器學習
智慧威脅雲端

網路保護
賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為：

作業系統攻擊：Microsoft SMB MS17-010 入侵嘗試 (2017 年 5 月 2 日發佈)
攻擊：Shellcode 下載活動 (2017 年 4 月 24 日發佈)

SONAR 行為偵測技術

Sapient 機器學習

Heur.AdvML.A
Heur.AdvML.B
Heur.AdvML.D

防毒

為擴大保護與識別的目的，已更新以下防毒識別碼：

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本，以確保擁有最新的保護：

20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動：

系統感染：Ransom.Ransom32 Activity

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散，特別是 MS17-010。

什麼是 WannaCry 勒索軟體？

WannaCry 會搜尋並加密 176 種檔案類型，然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示，贖款金額在三天後將加倍。若未在 7 天內支付贖金，將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎？或者我應該支付贖金？

目前尚無法將加密檔案解密。如果被感染的檔案有備份，您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下，沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密，原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密，而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry 是何時出現的？其散播速度有多快？

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始，WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降，但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry，5 月 11 日至 5 月 15 日

誰會受到影響？

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高，因為它能透過網路散播，而且全球已有多家企業組織遭到感染，其中大多位於歐洲。但是，個人也可能受到感染。

這是鎖定目標的攻擊嗎？

不是，目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題？

WannaCry 利用已知的 Microsoft Windows 安全漏洞，無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播？

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播，但是一開始的感染方式，也就是企業組織中第一台電腦遭到感染的方式，仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例，但這顯然是模仿的攻擊行為，與原始攻擊事件無關。

是否已有許多人支付贖金？

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示，在撰寫本文時，已有 207 筆獨立交易，總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼？

新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

文章來源: https://goo.gl/dDfEMb

圖片來源:

The post WannaCry 勒索病毒預警 first appeared on 捕夢網 Blog.

伊莉論壇勒索事件分析

pumoadmin55 — Fri, 12 May 2017 01:52:36 +0000

那一天人們終於回想起，曾經一度加密電腦檔案的恐懼，還有回憶轉瞬消失殆盡的扼腕…

近期臺灣知名討論區伊莉論壇(eyny)散布勒索軟體鬧得滿城風雨，於是筆者特此燒腦寫了這篇文章。目的為提醒各位: 當受信任的來源成為攻擊幫兇時，後續損害也會更加深遠。

序曲

論壇管理員說明，自4/23至24日期間系統遭駭客入侵並放置假Flash player更新通知。以下是內文翻譯:

"目前所安裝的版本：21.0.0.182 PPAPI（Chrome，Windows），過期的Flash Player可能會導致某些內容不正確顯示， Adobe建議您始終安裝最新的更新。點擊“立即更新”按鈕，即表示您已閱讀並同意Adobe軟體許可協議。"

由於該論壇過去從未要求用戶，需安裝第三方工具才能獲得存取特定頁面的權限，這個高仿真的更新頁面便很快地引起討論。雖有部分用戶警覺論壇可能遭到入侵，但多數人仍不覺有他，按彈出視窗指示下載&安裝。

直到用戶的桌面出現不停倒數、既熟悉又陌生的綠色視窗，才發現為時已晚。

概要

威脅本身 (install_flash_player_ax.exe.exe) 是一雙後綴的可執行文件，裡頭包含四個檔案( .exe與.dll各二 )。

install_flash_player_ax.exe ———— 正版Adobe安裝檔
setup.exe ———— 主體程式 (UPX殼)
System.dll ———— DLL庫
nsDialogs.dll ————- 顯示勒索視窗

行為剖析

ThunderCrypt初期不會立即加密檔案，相反的這耐心的傢伙會等到用戶安裝自帶的Flash player 25安裝檔後才會進行下一步。期間工作管理員會顯示數量不等的PowerShell.exe正在背景執行，安裝檔則在活動後被刪除。

( 附圖中的PowerShell正與位於法國的212.47.237.95進行通信 )

程式調用了WinAPI" Sleep() "延遲執行，這類停頓指令常於惡意行為前執行以增加自身存活機率，它們倚靠用戶特定動作觸發、或單純讓自動分析系統計算冗餘數據。

新增"HKLM:\Software\Microsoft\Windows\CurrentVersion\Shell"這筆登錄項，接著PowerShell將base64內容解碼後寫入記憶體，以下是酬載完整內容:

基於PowerShell的惡意酬載(Payload)大多以base64編碼的腳本出現。另外一徵兆則是對" FromBase64String "函數的使用，因為攻擊者常以此形式儲存指令或傳遞資料。儘管base64編碼並不一定是惡意的，但許多針對PowerShell打造的無文件攻擊均會引用這個函數。

下圖的PowerShell命令用來刪除所有檔案快照。

ThunderCrypt聲明它們使用了RSA-2048公鑰加密，並要脅如不付錢就會刪除檔案，不過相對也提供一次免費解密3mb大小檔案做為證明。ThunderCrypt背後作者曾將檔案託管在GitHub上，事發後該頁面已遭到刪除。

後續推論

就測試結果而言，ThunderCrypt與其他勒索相比顯得有些小巫見大巫。因為本次用戶案例並非棘手的無文件攻擊 (進入網站剎那間即受感染)，而是傳統的欺騙安裝。即使如此仍有一定數量的用戶受到影響，可能原因請參考時間軸:

ThunderCrypt最早上傳的紀錄為4月23日，檢測率不到2成
隔天24日論壇管理員發佈公告
4/26 ~ 5/3期間陸續浮出曾受害用戶，事件擴張
5/2至今其他漏報廠商先後入庫

上圖可看出ThunderCrypt剛被發現時只有11家廠商檢測到，而根據各方入庫的先後時間又向後延了數天。換句話說威脅在用戶系統裡的安全軟體發現前就其門而入，這中間所經歷空窗期便是俗稱的零時差攻擊 ( Zero-day attack )。

不只系統需要修補，腦袋也是

此次事件對該論壇造成不小後續影響，包括用戶對服務提供者的信賴。儘管網站方面確實是受害方，面對輿論仍難辭其咎。

有部分用戶批評，目前論壇背後所使用的Discuz!平臺仍停留在2012年4月7日所發佈的 X2.5版、PHP程式庫也久未更新。此外我們也發現到論壇包含登錄等所有頁面均缺乏最基本的HTTPS加密，種種問題不難讓人聯想到漏洞遭駭客利用的可能性。

除了Spotify、雅虎的前車之鑑，此次事件同樣再度提醒身為用戶的我們: 即使信任來源仍要小心求證。

文章來源: https://anulabs.wixsite.com/official/single-post/eyny-thundercrypt

圖片來源: https://www.google.com.tw/?gws_rd=ssl

#網路安全

#駭客

#勒索軟體

#威脅分析

The post 伊莉論壇勒索事件分析 first appeared on 捕夢網 Blog.

勒索軟體從 WordPress 蔓延至 Joomla

pumoadmin55 — Thu, 10 Mar 2016 02:23:23 +0000

某個在 WordPress 上出現的惡意廣告行動，目前正試圖擴大版圖。據報導指出，歹徒正嘗試跨足不同平台，攻擊以 Joomla 架設的網站。根據資安研究人員 Brad Duncan 在網際網路風暴中心 (Internet Storm Center，簡稱 ISC) 網站上指出，在 WordPress上發動「admedia」攻擊行動的駭客團體目前正鎖定了一個新的目標，研究人員發現他們開始攻擊 Joomla 開放原始碼內容管理平台 (CMS)。

2016 年 1 月，受感染的 WordPress 網頁被植入了 admedia iframe，不僅可能在電腦上安裝後門程式，更可能將網頁瀏覽者導向含有漏洞攻擊套件的惡意網域，進而感染 TeslaCrypt勒索軟體 Ransomware 。根據 Duncan 指出，此攻擊行動第一次被發現時是在目標網站上植入 Nuclear 漏洞攻擊套件，但現在已改成植入Angler 漏洞攻擊套件。除此之外，歹徒的閘道網址也開始改用「megaadvertize」這個網域。

不過，其基本技巧還是不變：遭到感染的網站將被駭客入侵，並且在其 .js 檔案當中嵌入駭客的腳本 (script)。由於網頁在執行 JavaScript 程式碼時需要用到這些檔案，因此會將使用者導向 admedia 閘道。換句話說，網頁產生的 iframe 會打開一道從受感染的網站通向漏洞攻擊套件的路徑，進而讓電腦被植入 TeslaCrypt 勒索軟體 Ransomware 。勒索軟體目前仍是歹徒向不知情的受害者勒索錢財非常有效的一種惡意程式，而其發展速度亦無減緩的跡象。

儘管研究人員表示 Joomla 網站的感染數量仍不能和 WordPress 相比，但網站管理員仍不可掉以輕心。駭客入侵正常網站然後將它當成攻擊管道的情況似乎越來越流行，基於使用者對網站的信賴，這可以讓駭客感染到許多不知情的使用者。我們建議網站管理員務必定期修補其內容管理系統，並且隨時注意可能危及其使用者的最新威脅。

文章來源:http://blog.trendmicro.com.tw/?p=16792

圖片來源:https://pixabay.com/

The post 勒索軟體從 WordPress 蔓延至 Joomla first appeared on 捕夢網 Blog.