月份: 2017 年 6 月

發佈於

認識勒索軟體

勒索軟體是一種讓受害者不能夠存取他們電腦的惡意軟體。它的目的是要威脅受害者付出贖金來讓系統或資料復原。勒索軟體分成兩種,一種是加密型勒索軟體,另外一種是限制系統運作的勒索軟體(例如將受害者系統鎖住,除了付贖金之外,不能做其他動作)。

機器產生的替代文字: 勒 索 軟 體 演 進 過 程 oWall Family toLocker 2013. C 2006. TROJ CRYZI P 2015 ~ TeslaCr t Family , TorrentLocker Family 2013 ~ 丨 丨 Ⅱ Ⅱ Ⅲ 丨 Ⅲ 1 Ⅲ ' 2012 , Reveton

機器產生的替代文字: 勒 索 病 毒 的 散 播 途 徑 勒 索 病 毒 目 前 主 要 的 攻 擊 途 徑 : 惡 意 郵 件 一 釣 魚 連 結 和 惡 意 夾 檔 · 網 頁 掛 馬 一 遭 駭 客 入 侵 的 網 站 一 惡 意 廣 告 弱 點 攻 擊 IE browser 一 Java /FIash 一 Adobe . RANSOMWARE -"AP Or 匷 , p , p foe “ p m , Usermayencounterransomwarevariantsvla spam or maliciouslink. Once installed, it limits access to thesystemandShowmessage prompts forcing users to pay for the Ransom o

勒索軟體的傳播途徑

網路釣魚郵件

根據調查,絕大部分收到勒索軟體入侵的原因都是誤點了網路釣魚郵件,大部分的網路釣魚郵件內容可以區分成幾種類型:

(1) 快遞或郵寄通知

(2) 帳單或訂單

(3) 應徵者履歷

(4) 退稅,發票或罰單

惡意廣告

大多數人對於惡意廣告存在著很大的誤解,以為一定要點擊才會受到危害,事實上,惡意廣告的攻擊並不需要使用者點擊,只要瀏覽器或裝置顯示出惡意廣告,使用者就會受到攻擊。

惡意廣告的攻擊可以分成兩種類型:

(1) 點擊前(Pre-Click)攻擊

在使用者瀏覽網頁時,惡意廣告可以透過軟體漏洞來攻擊,例如Java, Flash Player甚至是瀏覽器漏洞。也可以透過廣告系統的弱點,撰寫script來發動主動攻擊,勒索軟體可以在使用者僅單純瀏覽網頁的情況下,就進行攻擊。

 (2) 點擊後(Post-Click)攻擊

這是惡意廣告中最經典的情境。當使用者點擊惡意廣告時,便會被導向一個攻擊者所建置的惡意網站,裡面存放著攻擊的程式,當使用者看到惡意網站時,就有機會開始執行惡意程式。

機器產生的替代文字: 主 要 來 自 個 管 道 · 電 子 郵 件 一 文 件 檔 一 執 行 檔 案 一 腳 本 檔 案 ( 丿 S ) · 糹 罔 際 糹 罔 路 一 釣 魚 網 站 O 15 網 機 中 毒 電 TREND

機器產生的替代文字: 惡 意 郵 件 攻 擊 案 例 釣 魚 信 件 一 假 當 地 的 銀 行 或 快 遞 , 連 結 下 載 帳 單 或 收 據 一 下 載 的 檔 案 實 際 為 勒 索 病 毒 惡 意 夾 檔 一 偽 裝 成 投 履 歷 或 寄 送 發 票 的 信 件 一 附 件 壓 縮 檔 解 開 後 是 勒 索 病 毒 26 74 semE/ng p 3 : 10 C g Mesnge 卩 贮 卩 L Sydney Aelch Mesnge resume 卜 V el 〔 n , 丨 | 2 KbJ web"te slwn It was my name IS Sydney Pleascchcckcvmthmsandstopspamnlgorl'llwritcanabusc. Resume attached,' am lcckmg forward to hearing from 70u ThereIsonefilefromycurwebsitethatissendingspamlhave Faithfully yours, Sydney atta—hed to this le - Pleasemfonnmewhenyoucansclvethisissue

機器產生的替代文字: 網 頁 掛 馬 攻 擊 流 程 · 駭 客 入 侵 網 站 後 , 將 惡 意 程 式 碼 植 入 網 站 拜 訪 該 網 站 的 使 用 者 將 會 執 行 程 式 碼 · 在 瀏 覽 網 站 的 同 時 , 也 自 動 被 導 入 駭 客 的 攻 擊 伺 服 器 使 用 者 入 的 帖 被 入 帖 被 入 站 客 中 敻 " 攻 擊 件 伺 服 器 勒 索 病 夤

機器產生的替代文字: 台 灣 網 站 掛 馬 攻 擊 追 蹤 發 現 持 續 發 現 台 灣 網 站 被 入 侵 導 向 國 夕 卜 漏 洞 攻 擊 套 件 伺 服 器 受 害 網 站 多 為 内 容 管 理 系 统 WordPress,JoomIa, Drupal 免 費 、 超 強 大 、 模 組 化 、 國 際 標 準 的 CMS (Content Management System) 12 月 3 日 落 (WordPress) 12 月 9 日 學 校 (Drupal) 12 月 16 日 媾 呫 ( ? ) 中 小 企 (Joomla) 12 月 21 日 民 宿 (Joomla) 家 僂 (WordPress) 12 月 25 日 學 校 卩 m 丨 a ) 駑 訓 班 卩 吅 m 12 月 28 日 中 小 企 (Joomla) 2Q15 年 12 月 1 月 6 日 學 卩 oom 1 月 11 日 中 小 企 卩 00m 1 月 20 日 中 小 企 (? ) 1 月 27 日 研 究 位 (WordPress) 1 月 日 2016 年 1 月 架 站 軟 體 月 1 日 - - - - 落 (?) 月 15 日 - 學 會 卩 m ) 2015 年 10 月 11 月 6 日 - 金 會 ( ? ) 11 月 19 日 - 大 眾 輸 (Joomla) 11 月 30 日 - 房 地 卩 吅 m ) 2D15 年 11 月

機器產生的替代文字: 萬 惡 深 淵 : 廣 告 進 行 掛 馬 攻 擊 · 惡 意 廣 告 與 掛 馬 攻 擊 一 駭 客 假 冒 廣 告 業 主 , 上 傳 惡 意 廣 告 到 一 般 廣 告 平 台 一 惡 意 廣 告 可 透 過 廣 告 網 路 傳 遞 到 各 大 網 站 2015 年 12 月 全 球 網 頁 掛 馬 攻 擊 來 源 分 布 入 站 惡 黂 88

機器產生的替代文字: 新 型 手 法 - 駭 客 買 廣 告 音 廣 眚 掛 攻 擊 假 昌 廣 丵 主 上 傳 亞 音 廣 告 到 - 般 廣 告 平 勒 索 軟 體 丨 — 1 E 丨 14, 5 P-C 漏 氵 同 攻 擊 套 件 刂 = 告 TREND OR Ⅱ : ¢ 染 P 隱 藏 的 意 中 繼 伺 服 器 O m15 r 丆 E ET, O 丆 H. TC ANG Y / 尹 E e r / r. inp / ' / 's c MV Michene I 丨 0 my hu

機器產生的替代文字: 駭 客 攻 擊 奏 效 的 關 鍵 持 續 發 現 新 漏 洞 是 主 要 原 因 一 零 時 差 漏 洞 一 快 速 整 合 漏 洞 CVE 鬆 應 用 程 式 發 現 日 期 整 合 的 洞 攻 擊 包 新 公 開 日 期 差 距 天 數 MS Silvertight 2m6 , 02 · 22 Angler E 。 飛 Kit 2016 , 01-12 CVE 015 651 Adobe Flash 2016-01 -26 Angler E 。 飛 Kit 2D15-12-28 CVE 015 446 Adobe Flash 2015-12-15 Angler 2015-12 一 08 CVE 01 7645 Adobe Flash 2015-10-29 Angler E 。 飛 Kit 2015-10-16 越 久 沒 有 更 新 CVE 01 5560 Adobe Flash 2015 8-28 Angler E 2015 6-11 CVE 01 2444 2m5-08-25 Exploit Kit 2D15-08-12 CVE 01 2419 MS 2015 8- Angler 2015 7 一 22 感 染 風 險 越 高 CVE-201 16 MS Silvertight 2m5-07-21 Angler E 。 飛 Kit 2D15-05-12 CVE 0154122 Adobe Flash 2015 11 Angler 2015 7 一 14 CVE 2015 119 Adobe Flash 2m5-07-07 Angler E 。 飛 Kit 2D15-07-08 CVE 201 Adobe Flash 2015 • ( -27 Magnitude E Kit 2015 • 06 • 23 CVE 01 31 Adobe Flash 2m5- -17 Angler E 。 飛 Kit 2D15-06-09 CVE-2015-3105 Adobe Flash 2015 • ( - 櫏 Magnitude E Kit 2015 • 06 • 09 CVE-2015-3090 Adobe Flash 2m5- OS -26 Angler E 。 飛 Kit 2D15-05-12 0 CVE 015 359 Adobe Flash 2015 4- 櫏 Angler 2015 • 04 一 14 CVE 015 336 Adobe Flash 2m5-03-19 Nuclear Exploit Kit 2D15-03-12 CVE 015 313 Adobe Flash 2015 2 2 HanJuan Exploit Kit 2015 2 一 04 CVE 2015 311 Adobe Flash 2015-01-20 Angler E 。 飛 Kit 2D15-01-27 CVE • 2 5 310 Adobe Flash 2015 • 01 一 15 Angler 2015 • 01 2

機器產生的替代文字: 被 加 密 後 能 否 自 行 解 開 ? · 檔 案 是 由 AES / RSA 2048 加 密 演 算 法 加 密 - 加 密 即 法 破 解 除 非 取 得 金 鑰 t ke Get enc O m15 r 4.Repla Target Documents ncrypted Shadow Files TREND

採高安全性非對稱加密,難以破解

或許讀者比較熟悉對稱加密技術,但是對非對稱加密技術則感到比較陌生,我們在這邊暫且不談其詳細原理,只討論在使用時兩者的差別。

對稱加密有如ZIP壓縮檔的密碼,在加密與解密時都使用同一組密碼,而非對稱加密則較常用於網路傳輸,它的特色是在加密時使用的密碼稱為加密金鑰,在解密時則必需使用稱為解密金鑰的密碼,而2個金鑰並不相同。其概念可參考下方示意圖表。

機器產生的替代文字: 非 對 稱 加 密 加 密 金 鑰 非 對 稱 解 密 解 密 金 鑰

在CryptoLocker運作時,攻擊者的電腦會產生1組加密、解密金鑰,透過網路將加密金鑰傳送至受害電腦,並將檔案加密,由於受害者的電腦中並沒有解密金鑰,所以無法將檔案解密,因此將無法讀取被影響的檔案。

由於解密金鑰不曾於網路上傳輸,除非受害者反過來主動入侵攻擊者的電腦,否則無法取得解密金鑰,再加上CryptoLocker採用的是金鑰長度為1024bit甚至是2048bit的RSA加密演算法,在實作上仍無法直接破解密碼、救回檔案。

做個結論,如果萬一不幸遭到勒索,即便可以清除病毒本體,但是還是沒有辦法自行開啟被加密得檔案,因此只能乖乖交付贖金。另一方面,雖然我們沒辦法事後補救,但是還是可以事前預防,讀者都應該養成不點擊可疑網址,不安裝來路不明程式的習慣,此外還需勤備份重要檔案,至少需做到定期將重要檔案燒錄成光碟、複製到外接硬碟保存(而不是從C槽複製到D槽或是雲端同步資料夾),才能避免悲劇發生。

結論
• 勒索病毒的崛起

– 有效的犯罪手法,為地下經濟帶入新的金錢收入

– 相關的犯罪隨之而起,更多的惡意廣告、惡意郵件和漏洞

• 勒索病毒的散播途徑

– 惡意信件

被駭客入侵的網站/ 網路廣告

– 弱點攻擊

• 勒索病毒擴散的關鍵

– 收件者沒有警覺,網站沒有更新,廣告難以驗證,軟體含有漏洞

 

以上資料由趨勢科技文件提供,高晟資訊重新整理….