陳清芳本文目錄
新型 GPcode 勒索程式綁架檔案當人質
勒索程式會挾持受害者的檔案當作「人質」(予以加密),同時歹徒會要求受害者付出高額金錢以交換可用來取回加密檔案的解密金鑰。年底出現新版本的 GPcode 勒索程式TROJ_RANDSOM.A。這個新型勒索程式在執行時會顯示下列訊息:
圖表 1.惡意程式執行時所顯示的假錯誤訊息
它會置入數個同樣也定義為 TROJ_RANDSOM.A 的檔案。然後,它會在系統上任何可讀寫的磁碟機中搜尋並加密檔案,將檔案轉變成無法存取 (如果沒有解密金鑰的話) 。它也會在加密的檔案加上 .XNC 副檔名,藉以變更檔名。
它也會在含有加密檔案的每個資料夾中置入 READ THIS.TXT 檔案。此檔案通知受害者其檔案已經加密,而且必須購買解密工具才能當檔案解密。該文字檔中也包含電子郵件地址,受害者必須聯繫該地址才能獲得解密工具。
此項罪行的歹徒要求 £200 (美金 $307 元) 才提供解密服務。
過去,我們已見過勒索程式透過有效的社交工程手法達到恐嚇目的。部分惡名昭彰的勒索程式如下所列:
建議使用者將自己的軟體備份,如此就不會成為勒索程式受害者。
線上理財工具成詐財工具?
『Treasury Optimizer’ 是 Capital One Bank 提供的一項線上理財工具,目的是提供每週七天 24 小時全天候的企業帳戶安全存取管道。這項工具試圖取代電子貨幣 (較為人熟悉的名稱是 eCash),提供如多重驗證機制等安全功能,以保障客戶帳戶安全。
不幸的是,他們的安全防護措施並不夠嚴密,因為我們已接獲大量「宣傳」Treasury Optimizer 更新檔案的網路釣魚郵件。這封網路釣魚郵件告知客戶,由於所有 Capital One Bank 產品均可能受到一個潛在的安全風險所影響,包括在內,因此客戶應立即更新他們的帳戶資訊。這一波結合惡意程式的網路釣魚攻擊活動有別於傳統網路釣魚攻擊,而危險性也不在其下。網路釣魚攻擊通常僅限於特定範圍;在每一次成功的攻擊行動中,遭受攻擊的組織往往只有一個帳號遭破解。但是這一波網路釣魚攻擊會在遭受攻擊的使用者的系統中安裝惡意程式,藉以監控使用者的線上活動,因此可能導致更多的資料外洩。
以下是這封網路釣魚郵件的畫面擷取圖:
傳統網路釣魚攻擊往往透過四處散播的網路釣魚郵件夾帶偽造的登入網頁,藉此騙取使用者的身份驗證資訊。然而就這一波攻擊攻擊行動而言,網路釣魚郵件中所含的網路釣魚連結所指向的網頁並未要求使用者輸入身份驗證資訊,而是指示使用者下載一個檔案。當使用者按下網路釣魚郵件中所含的連結時,會顯示以下偽造的 Treasury Optimizer 網頁:
網頁中說明該銀行必須修正一個安全弱點,因此客戶必須下載更新檔案以便進行修補。它會針對各種作業系統顯示不同的下載連結。然後,它會下載一個偽裝成安裝程式的木馬 TROJ_SMALL.MAT 。
流氓軟體 Antivirus 2009 造假搶先發佈
2008 年 10 月起網路上開始流竄著一種新的流氓防毒軟體 AntiVirus2009 。尤其是接近發佈 2009 年最新軟體更新的時候,網路罪犯也趁著這個時候牟取非法利益。趨勢科技 TrendLabs 的研究員發現流氓防毒軟體 AntiVirus2009 會植入 TROJ_FAKEAV.CX 木馬,以中毒警告訊息引起使用者恐慌,進而購買該軟體,而這個「防毒軟體」最新版本不僅沒有防毒功能,反而給系統增加更多安全威脅,比如出現藍色當機畫面。該木馬正透過名人醜聞影片連結 (最近的例子是安潔莉娜垃圾郵件) 和入侵關鍵字搜尋結果排序前幾名的網站來散播。遭到入侵的網域已經有數十個之多,在駭客的 SEO 下毒安排中,幾乎有 1 百萬個搜尋字詞。這些搜尋字詞涵蓋的範圍包括 free downloads、lyrics、travel、politics 。惡意網站的網頁標題包括「CLICK HERE!ALL INFORMATION!」(按這裡!獲得完整資訊!) 及「CLICK HERE!WANT TO KNOW MORE ABOUT」(想知道更多資訊,按這裡!) 等,因此,最好是不要按下有這些網站標題的 Google/Yahoo! 搜尋結果。
感染途徑:來自垃圾電子郵件、即時訊息,社交網路網站的惡意連結
這個流氓軟體感染的途徑可能是透過垃圾電子郵件、垃圾即時訊息,甚至是社交網路網站上的廣告。當使用者按下惡意連結之後,他們就下載了這個流氓程式。這些連結會指向惡意程式,該惡意程式會導致 PC 上出現顯著訊息 (例如彈出式視窗或修改過的背景) 指出系統的確已遭感染。然而,這可不是好意提醒,因為下載「試用版」只能掃瞄系統。若要移除中毒感染,使用者必須花錢購買完整的間諜程式防護軟體。
以下是 TROJ_FAKEAV.CX 木馬顯示的訊息:
TROJ_FAKEAV.CX 也會置入另一個惡意程式 TROJ_RENOS.ACG 。目前已知,RENOS 木馬也會顯示視覺效果進一步警告使用者,例如,它會修改系統的背景和螢幕保護裝置設定以顯示 BSOD (Blue Screen of Death/Doom,藍色當機畫面) 。因此,使用者可能更容易相信自己的系統真的出了差錯,卻不知道造成這個結果的正是那個新軟體。
PC 已經重新導向數次,在這過程中,使用者會開始看到 PC 已遭到感染的訊息顯示。
參考原文:
In The Virtual Crime World, Merrill Lynch Follows Wachovia’s Fate
Fake SSL Certificates Seen Again
Fake Antivirus Trojans Ramping Up
Abused Blogs, Poisoned Searches, and Malicious Codecs
作者簡介
崔嘻(陳清芳),念的是大眾傳播,一直以為會當廣告人,卻意外地在趨勢科技找到創意人的文化。自 1995 年起在兩岸媒體撰文無數,用創意人的筆調,寫資安趨勢觀察。從毒賣新聞到金毒獎,從電腦病毒紅皮書到網路安全趨勢部落格,讓讀者零負擔閱讀資安新知,
Web2.0 病毒愈來愈駭、駭客愈來愈壞,行走網路一不小心就踩到地雷。崔嘻在這裡為您一手取得「TrendLabs 全球網路安全實驗室」中文版最新網路安全報告,讓您在網路 High 過頭而不駭過頭,戳破網路釣客假面具,不當網路詐騙集團 ATM 。
崔嘻說:「我不愛說話,但保證很有看頭(備註:是指文筆)」