中華數位與ASRC研究中心發現勒索病毒的新變形,攻擊者同樣使用 Javascript 做為勒索病毒的前導程式,只是將惡意的 Javascript 放在 .hta 檔中,藉以躲避 .js 檔過濾條件的偵測!
上一波 Locky 勒索病毒大量使用了 .js 檔做為感染的前導,而 .js 能被 Windows 執行,是因為 Windows 作業系統預設啟用了 Windows Script Host 服務。面對這樣的攻擊,各方專家都提出了攔截 .js 副檔名或關閉 Windows Script Host 服務等防範辦法。不過中華數位與 ASRC 研究中心近期發現勒索病毒新變形,攻擊者同樣使用 Javascript 做為勒索病毒的前導程式,只是將惡意的 Javascript 放在 .hta 檔中。由於 Windows 作業系統中,點擊.hta檔預設會呼叫 Microsoft Internet Explorer 起來執行,這一舉直接突破了攔截 .js 副檔名的過濾條件或關閉 Windows Script Host 服務等防範辦法。
根據 ASRC 研究中心的分析, .hta 檔中所放置的惡意 Javascript 檔經過混淆 (Obfuscation) 處理,不易直接判讀惡意腳本打算進行的動作。
進一步的剖析發現,這個惡意腳本若被執行,則會試圖連線到這三個地方下載惡意檔案:
- hxxp://www.itogazaidan.jp/HJghjt872
- hxxp://www.ionut.coman.home.ro/HJghjt872
- hxxp://twojamuza.y0.pl/HJghjt872
並存在本機的這三個位置:
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS1
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS2
- C:\Users\<user_name>\AppData\Local\Temp/pTOLwCQTqS3
接著,讀取檔案,並將檔案內容解碼存成 dll 檔,最後再透過 rundll32.exe 執行加密勒索程序。攻擊者從來不是省油的燈,只要資安業者公布了新的防範手法,攻擊者就會設法繞過,正所謂「道高一尺,魔高一丈」,資安防範不可一刻輕忽。
中華數位 SPAM SQR 面對這類型的攻擊,並非單純以攔截 .js副檔名的方式防禦。 SPAM SQR 掛載多重威脅防禦引擎,除可外掛防毒引擎抵抗已知病毒郵件外,內建的惡意檔案分析引擎,可層層分析附件檔案,讓此樣本出現的第一時間原形畢露。
已使用 SPAM SQR 的客戶請注意定期更新系統以及特徵,以達到最佳防禦效果。
如有任何問題請洽中華數位科技客服中心 (02)2543-2000
中華數位勒索病毒解決方案:http://www.softnext.com.tw/focus/ransomware/
※關於Softnext中華數位科技:
秉持著【We Secure Your Content】的理念,致力於電子郵件安全、網路內容安全、企業資料保護的技術研究與開發,以提供完善的資訊內容安全解決方案及應用服務,協助企業以符合法規規範的方式進行資訊內容安全管理。
研發產品榮獲多項創新研發大獎,廣受企業愛用與肯定:
經濟部技術處「產業創新成果表揚」、資訊月「傑出資訊應用暨產品獎」
資策會MIC調查「大型企業十大資安產品信賴品牌」及「電郵安全領導品牌」
DigiTimes「2010年資安產品滿意度調查」郵件管理企業理想品牌第1名
網路資訊「2008台灣資安普查」郵件安全產品使用率第1名、推薦第1名
了解更多企業及產品資訊,請洽02-25422526或上中華數位科技官方網站查詢http://www.softnext-inc.com/ 。
熱門新聞
2025-12-24
2025-12-23
2025-12-22
2025-12-19
2025-12-24
2025-12-23
2025-12-24