AhnLab緊急通報，2016Q1勒索軟體的擴散

2016年第一季，最惡勒索軟體有哪些？

1989年出現了 PC Cyborg Trojan（AIDS），其作者為 Joseph Popp。該病毒會修改系統檔 AUTOEXEC.BAT 來監控系統啟動次數，一旦系統啟動次數達到90次時，系統所有的檔案將會被加密，導致系統無法正常啟動，並顯示相關的勒索訊息，聲稱使用者的軟體授權已經過期，要求支付贖金以解鎖系統。包括 Wikipedia 的資訊安全相關記錄也指出 PC Cyborg Trojan 為勒索軟體（Ransomware）的始祖。

直至2005年再出現的 Gpcode 勒索軟體，已開始使用 RSA加密演算法來加密使用者的檔案（副檔名顯示為 .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h …等），然後誘使使用者購買解密工具。以2013年8月出現的 CryptoLocker 為起點，勒索軟體鞏固了其作為全球駭客犯罪組織謀取暴利的趨勢。2016年3月，名為 Locky 的新型勒索軟體正在肆虐全球，它利用 Microsoft Office 的巨集功能傳播病毒。本文將重點闡述2016年第一季各式的勒索軟體。

01. 使用 JavaScript 撰寫的勒索軟體－Ransom32

Ransom32 是首例使用 JavaScript 程式語言所撰寫的跨平台勒索軟體。通常利用電子郵件中的附件內嵌 JavaScript 惡意程式碼進行偽裝，執行後會同時下載勒索軟體到使用者電腦裡執行。它使用 Tor 網路，並採用 AES 和 RSA 加密演算法進行加密。

02. 透過釣魚郵件傳播的勒索軟體－CryptoJoker

CryptoJoker 採用 AES 256 加密演算法進行加密，並透過釣魚郵件傳播，加密後副檔名顯示為 .crjoker。

加密後顯示的勒索資訊使用英語和俄語。

03. 透過遠端控制直接感染的勒索軟體 - Lechiffre

該勒索軟體源於法國，Lechiffre 在法文中代表“數字”或“加密”的意思 echiffre”義”。攻擊方式與一般的勒索軟體不同，駭客必須先找到位於企業網路中存在安全性漏洞的目標電腦，然後遠端存取此電腦，並手動進行感染。加密後副檔名顯示為 .LeChiffre，其採用 Base64 加密演算法進行加密。

04. 副檔名變成 .mp3 的勒索軟體 - TeslaCrypt 3.0

隨著 TeslaCrypt 3.0 的出現，加密演算法和加密後副檔名更產生了變化。TeslaCrypt 3.0 將檔案加密後，副檔名顯示為.xxx, .TTT, .Micro, .mp3 …等。

05. 禁用 Windows 鍵盤按鍵的勒索軟體 - 7EV3N

7EV3N 偽裝成情人節促銷活動廣告之電子郵件發送給使用者，誘使使用者點擊郵件中的惡意鏈結，點擊的同時使用者的電腦會立即執行勒索軟體。該勒索軟體透過修改各種系統設定和啟動項目，禁用電腦的鍵盤及系統還原。加密後副檔名顯示為 .R5A，檔名將從1開始自動遞增。

06. 利用釣魚攻擊工具包（angler exploit toolkit）的勒索軟體 - HydraCrypt

HydraCrypt 利用釣魚攻擊工具包進行散佈，加密後副檔名顯示為 .hydracrypt_ID_[8位元隨機文字]，採用 AES 加密演算法進行加密。

07. 透過偽造的 PDF 檔所感染的勒索軟體 - NanoLocker

NanoLocer 採用 AES 和 RSA 加密演算法進行加密，並在電子郵件附上偽造的 PDF 檔案，誘使使用者執行。加密後顯示付款和檔案解密按鈕。

08. 以白名單方式加密的勒索軟體 - DMALocker

DMALocker 採用 AES 加密演算法進行加密，以白名單方式加密，對駭客所特定為白名單的資料夾和副檔名不進行加密。

09. 副檔名顯示 ID 的勒索軟體 - UmbreCrypt

UmbreCrypt 透過電子郵件附件傳播，並採用 AES 加密演算法進行加密。加密後副檔名顯示為 .umbrecrypt_ID_[感染電腦_id]，以白名單方式加密，對駭客所特定為白名單的資料夾不進行加密。

10. 具有 LiveChat 線上即時聊天的勒索軟體 - PadCrypt

PadCrypt 也是透過電子郵件附件的形式散佈。當受害者開啟電子郵件附件時，被副檔名為 .pdf.scr 的勒索軟體感染後採用AES加密演算法加密使用者的檔案。隨後出現相關勒索訊訊，要求使用者支付贖金。在感染介面的左下角，會發現有一個 Live Chat 鏈結，點擊後會出現 Live Chat 線上即時聊天視窗。據稱是首款具有 Live Chat 線上即時聊天視窗的勒索軟體。

11. 透過大量垃圾郵件傳播的勒索軟體 - Locky

Locky 是透過電子郵件的附件在執行後感染使用者電腦的勒索軟體。Lcoky 採用AES加密演算法進行加密，加密後副檔名顯示為 .Lokcy。目前 Locky 與 Dyre、Dridex 撰寫者合作發送大量垃圾郵件，讓使用者遭受感染的機會加倍。

12. 首例在 Mac OS X 作業系統上執行的勒索軟體 - Keranger

Keranger 是第一個能夠在 Mac OS X 作業系統上執行的勒索軟體，採用 RSA 加密演算法進行加密，加密後副檔名顯示為 .encrypted。是透過 BT 下載軟體 Transmission 進行散佈。

13. 篡改硬碟主要開機磁區（MBR）的勒索軟體 - Petya

2016年3月，出現了一種名為 Petya 的變種勒索軟體，透過電子郵件的附件進行散佈。該勒索軟體會篡改硬碟主要開機磁區，並在強制重開機後執行開機磁區中的惡意程式碼，加密硬碟資料後顯示相關勒索訊息，透過 Tor 網路勒索比特幣。

如上述的勒索軟體，惡意程式的撰寫者持續開發和散佈各式勒索軟體，這些勒索軟體甚至可以輕鬆繞過傳統資訊安全解決方案，傳統方式已經很難檢測到這類勒索軟體。此外，勒索軟體使用加密演算法進行加密，檔案被強制加密後非常難以復原。如果要防禦勒索軟體，非常需要使用者自身的警覺心。首先，切勿隨意打開任何來源不明的電子郵件附件，收到後最好立即刪除；另一方面，平時注重備份重要文件以減少勒索軟體可能帶來的高度風險。

AhnLab 的 V3 系列產品和 AhnLab MDS 可以檢測上述的勒索軟體。為了防止被持續變種的勒索軟體感染，V3 產品的客戶需將產品的引擎保持更新為最新的版本，MDS 產品的客戶則建議啟用「暫緩執行（Execution Holding）」功能。

勒索軟體，有哪些變化？

2013年夏天，出現了一個稱為 CryptoLocker 的史上最頑劣惡意勒索軟體，CryptoLocker 的出現可以說是網路犯罪領域的新轉捩點。該勒索軟體利用 RSA 加密演算法加密使用者的檔案，如果檔案被加密，短期內無法解密文件，使受害者遭遇前所未有的挫折。另外，為了隱藏贖金的移動路徑，使用了 Tor 網路，並要求使用比特幣支付贖金。還有，利用動態網域產生演算法（Domain Generation Algorithm，DGA）生成的 URL 聯繫駭客。這些新的型態使得惡意程式撰寫者對於勒索軟體的穩定成長及其帶來的收益抱持高度期待，並確信這些攻擊手法可以用在多樣的網路攻擊。下面將具體介紹勒索軟體的散佈方式和最新的勒索軟體趨勢。

勒索軟體的散佈手法

CryptoLocker 會偽裝成一個看似無害的電子郵件（通常使用合法公司的電子郵件）並利用其內含的附件或是利用即時通訊軟體進行散佈。這種散佈手法從2000年初伴隨著垃圾郵件的出現便開始遭惡意利用。在隨時隨地可以連接到網際網路的當今 IT 環境下，這種傳統的散佈方式仍具有相當大的威脅，不管是為了個人事務還是公司業務，大多數的人們通過即時通訊、電子郵件和社群網站來進行交流，這也正迎合我們的日常生活方式。只要在 IT 環境下的日常行為模式沒有多大變化，這種散佈方式仍然會持續進行。此外，駭客為了提高最大的惡意程式散佈率，持續尋找更好的方法。偽裝成各網站所提供的下載檔案，或利用 Microsoft Windows 作業系統安全性漏洞、應用程式的安全性漏洞、Web 伺服器的安全性漏洞等散佈惡意程式並感染之。還利用惡意廣告（Malvertising）手法，透過網路廣告和網站散佈惡意程式，或者利用 BT下載散佈惡意程式。

散佈的檔案格式

- 副檔名為 .DOC、.PDF 及圖示

初期的勒索軟體會偽裝成 .DOC 及 .PDF 檔案形式散佈，目前仍為駭客廣泛使用。一般使用者如果收到電子郵件附件為 Microsoft Word 或 PDF 類型的文件，常不疑有他就點擊打開附件。惡意附件一旦被執行，使用者電腦上的資料夾和檔案就會被加密導致無法打開。

- 偽裝成螢幕保護程式（副檔名為 .SCR）

企業內部建立的安全性原則中通常會包含設定螢幕保護程式（Screen Saver）。但是，很少透過直接執行螢幕保護程式的執行檔案來進行設定。儘管如此，螢幕保護程式執行檔經常被利用在惡意程式散佈。副檔名為 .SCR 的檔案如同副檔名 .EXE，點擊後即可執行。攻擊者就是利用這一點散佈惡意程式。

- 內含巨集的檔案

從偽裝成檔案的方式更進一步即是正常的檔案中內含巨集的型態。當打開這種內含巨集的檔案時，會顯示無法識別的文字或亂碼，誘使使用者為了正確識別內文必需啟用「巨集」功能。檔案中內含的巨集是混合的 JavaScript 程式碼，為的是讓人難以識破其意圖。透過該 JavaScript 嘗試與外部中繼站連線，然後下載惡意程式並且執行。

- JavaScript 文件（副檔名為 .js）

最近經常發現利用 JavaScript 程式語言的勒索軟體。駭客將電子郵件附件的檔案格式從可執行檔轉換成 JavaScript 檔，即透過JavaScript 檔散佈病毒。當檔案被執行時，即嘗試與外部中繼站連線，然後下載惡意程式並且執行。

進化的勒索軟體

- 採用白名單方式的加密

在 IT 環境下，所謂的白名單往往用於合法和不合法之間做區分。企業內部允許訪問的 IP、URL 及業務上必須使用的一些程式清單屬於這一類。勒索軟體也開始使用這種白名單的概念，這類勒索軟體具有不加密的檔案名單。也就是對於駭客所特定的目錄和檔案不進行加密。另外，還出現了一種對系統語系為俄文的電腦不進行加密的勒索軟體。

- 線上即時聊天（Live Chat）

最近出現了一種提供線上即時聊天功能的勒索軟體。AhnLab 團隊測試時因無法正常連線所以無法進行聊天。但如果連線正常的話，預計可以與駭客或相關人士進行對話。但在聊天過程中，可能會加重受害者的損失或者導致其他的犯罪，需要多加注意。

- 高水準的設計

勒索軟體的變種以獨特的設計來呈現。最近出現一種勒索軟體具備精美的 UI 設計看似可信度很高，與以往勒索軟體以文字為中心的單調設計完全不同。Maktub 勒索軟體將受害者重新鏈結到主要網站。和其他勒索軟體相比，Maktub 網站設計很漂亮，而且用詞文雅有禮。使受害者產生一種錯覺，看到的不是受到攻擊的介面，而是一個設計相當不錯的網頁。

- RaaS（Ransomware as a Service）

如同經銷代理產品的企業按照客戶需求提供客製化服務，駭客也開始對特定客戶提供 RaaS。當有人想客製化和發佈勒索軟體，駭客即可提供該服務。同時網站還提供銷售的勒索軟體散佈程度和感染程度等資訊，努力維持與委託人的信賴關係。

勒索軟體非法交易市場前景

- 勒索軟體市場總結

從2013年開始勒索軟體如雨後春筍般迅速成長，而且越來越趨向高級化路線，逐漸具備了自己的服務體系。在此過程中，僅追求簡單的功能和外形的一些二流勒索軟體只是曇花一現。根據擴散和造成損失程度的技術，勒索軟體的生命週期也有所不同。使用相同名稱而版本不斷更新的 Cryptowall 或 TaslaCrypt 等就是其中的代表。除非是誰都預想不到的新型勒索方式，否則日後在市場上佔優勢的仍然是散佈和導致付款的勒索軟體。

- 通過合作擴張領域

從2000年中期開始活躍起來的垃圾郵件散佈者不同於過去的簡單的廣告轉發活動，2014年夏天至去年年底在全世界散佈最多的 Dyre 惡意程式是透過電子郵件附件的方式散佈，當使用者點擊附件時，會將惡意程式安裝到使用者的電腦，使用者的金融資訊和個資隨即外洩。與 Dyre 惡意程式合作的垃圾郵件散佈者又與 Locky 勒索軟體撰寫者合作大量傳播勒索軟體。這種合作模式不局限於垃圾郵件散佈者。根據自己所擁有的勒索軟體的特性、檔案下載、C&C 伺服器及利潤等，尋求與其他組織的攜手合作。

- 組織性、大規模攻擊的可能性

1989年出現的最初的勒索軟體 PC Cyborg Trojan（AIDS）也向受害者要求支付189或378美元。2013年開始出現的最近的勒索軟體也要求200到400美元之間。但是最近發生的某醫院被勒索軟體感染後，攻擊者要求該醫院支付9000比特幣（360萬美元）。據瞭解，醫院支付了40比特幣（1萬7000美元）後，被加密的資料全部都恢復。

該事件給我們兩點啟示，

第一，攻擊者有可能再次攻擊支付過一次費用的攻擊對象。當然，對此該醫院也已認知，必定會對於醫院的資訊設備進行全面性的資安檢測，以防止再次受到攻擊。但還要考慮到一點：駭客也不會使用相同的方式來攻擊，很有可能會以現階段無法防禦的方式進行攻擊。

第二，勒索軟體的胃口不會始終停留在400美元的贖金。透過有漏洞的網站散佈勒索軟體與利用電子郵件附件方式的勒索軟體要求的贖金大同小異。但是，僅透過一次的攻擊即可取得比原有利潤高出5倍以上的勒索軟體案例的出現，表示駭客也開始轉向高收入的市場。根據惡意程式所收集的個人和企業間的各種資訊，可分類收益物件。另外，我們還要留意，針對特定目標且以金錢利益為優先的勒索軟體組織性的散佈可能會成為 APT 攻擊的新類型。

全文下載：http://www.richsmt.com/download/AhnLab/201604-Ransomware-TCN.pdf

關於AhnLab

AhnLab成立於1995年，是南韓最大的資安廠商，致力於提供全面性資安產品、專業諮詢顧問與安全代管服務。以整合雲端分析、用戶端與伺服器資源提供全方位防護，於全球近20個國家、超過25000家企業選擇使用AhnLab資安解決方案。

關於瑞奇數碼

瑞奇數碼股份有限公司為企業提供專業網路效能分析、入侵偵測防禦、傳輸加密防護、端點防護與資安事件整合系統等資訊安全解決方案。我們除了積極導入國外資安領域最優質的解決方案，更提供原廠級的建置、維護、教育訓練等服務。因為我們始終選擇最好的，瑞奇數碼也必然會成為客戶最睿智的選擇。精益求精是我們的理念，如何能讓客戶獲得最佳的解決方案是我們的責任，因此也贏得大型金融機構及政府單位用戶的信賴。更多瑞奇數碼代理產品資訊，請瀏覽http://www.richsmt.com.tw。