抓到短期大量擴散勒索軟體的兇手 ~ 台灣雅虎奇摩的 Flash 廣告

抓到短期大量擴散勒索軟體的兇手 ~ 台灣雅虎奇摩的 Flash 廣告

摘要:

這篇文章可以解釋為什麼在短時間內會有大量的crypz(勒索病毒)系列的受害者突然出現,然後一定時間後就迅速減少

共同特徵:
1.瀏覽了雅虎或雅虎奇摩(沒錯,是tw.yahoo.com)

2.使用了過舊的FLASH且預設為啟動,FALSH版本為21.0.0.213以及之前的因為存在共通的漏洞而中獎,此漏洞已於五月中有更新補上,但如果沒有即時更新一樣中獎,而且最可怕的是,只要”看到”就會中獎

3.絕大部分使用IE瀏覽器,也有極少數使用IE以外瀏覽器,原因就是FLASH沒有即時更新,這次反而不是IE本身的漏洞

4.雅虎於6/8~6/9之間收到通報把相關連結下架,推測問題連結應於五月底至六月初之間(最早受害者於6/3~6/4大量發難)

5.此外因為會竄改啟動程序,所以WIN7以上的UAC會跳警告確認,如果把UAC關了或是不小心按下確定就開始上鎖了…

預防方法:
1.如果是WIN7以下用戶,IE的設定建議FLASH關閉,或是改用FIREFOX或CHROME

2.如果是XP用戶,IE外連CHROME也不要用請改用FIREFOX,因為XP下的CHROME已經停止更新很危險,而且因為CHROME政策關係,很多銀行轉帳的外掛元件都已不支援,FIREFOX卻都還是繼續支援著,所以可以安心使用

3.WIN8以上客戶,請”一定、千萬”要開啟微軟的自動更新,因為從WIN8開始,IE的FLASH更新由微軟更新提供,只要有開,FLASH有更新你一定三天內就會收到

4.CHROME基本上都會隨時自動更新所以不會有甚麼大問題,如果很擔心的話就把它關掉吧(怎麼關請找你的GOOGLE老師)

5.FIROFOX基本上也是會自動更新,如果不想要FLASH自動啟動的話,請去附加元件設定內把FALSH設定為”啟動時詢問”,這樣就不會自動執行了

6.Adobe已於台灣時間6/16發表FLASH 22.0.0.192新版本,這個版本又修復了一個漏洞,且這漏洞只要是 22.0.0.192以前的版本都會中獎,請盡快更新。

內文引用來源:

Amenaka Isima ●看到此文章請趕快更新你的瀏覽器的FLASH,非常重要●
https://www.facebook.com/amenaka.isima/posts/1210413098983422

始作俑者:Flash 漏洞
攻擊製造者:勒索軟體製造者
攻擊發起者:惡意廣告商
攻擊獲利者:最終獲得比特幣的人
加害者:Blackhole Exploit kit & Angler EK (攻擊套件)
傳播者:台灣雅虎奇摩 且 發現未即時通報
受害者:未更新 Flash 的使用者
躺著也中槍者: IE 瀏覽器

來源: 網路攻防戰 – 標題:抓到短期大量擴散勒索軟體的兇手 ~ 台灣雅虎奇摩的 Flash 廣告 摘要:…

[心得] cryp1病毒付費心得 – 看板 AntiVirus – 批踢踢實業坊

作者IMMRL ()
看板AntiVirus
標題[心得] cryp1病毒付費心得
時間Thu Jun 9 11:56:28 2016

從沒想過會在本版發文

但想說自己有的經驗來跟大家分享給大家參考

請不要戰該不該付費,什麼資助對方研發之類的鳥問題

碰到了很幹,我只想拿回我的資料我的檔案我的回憶

———————————————

我平常用IE

沒事沒有亂點廣告 不上大陸網站,這一個月也都沒有上色情網站載A片

上個月開始就覺得電腦怪怪的

有時候會運轉到風扇轉得很厲害

但其實也沒做什麼事情

然後常常藍當

會自己重新開機, 或是 要強制重開機

五月初這現象不太嚴重,兩三天一次

五月底有時候一天就兩三次

因為我之前有關閉電腦程式自動更新

我想說會不會是我有系統落後了

結果我打開電腦的windows更新下載後

重新開機 我的電腦就中鏢了

所以檔案的檔名後面都被加了.cryp1,

更改檔名也不會有幫助 ,

除了資料夾以外的檔案,全 部 打 不 開,

word pdf excel 照片 影片 甚至txt筆記本他都不放過。

我X你娘X巴咧 (摸,下)

但也只怪自己平常沒有備份的習慣,

當你登入後就會有個倒數計時器從99hr99min99sec開始倒數

對方要求你 時間到前沒有付費(504USD),罰金就會加倍成1008 USD

(但其實付費多少是看1.2比特幣的匯率,研判當時匯率較低)

————————

種種原因,我決定付費

付費他會要求你要用比特幣付款(1.2 bit coin)

你們知道比特幣從去年到現在漲了3倍嗎?

對方說大約504美金,我自己五天前花了23500左右才買到1.2比特幣

X你娘X巴咧 (和,森)

然後再輸入轉帳序號到勒索的網頁

在這裡分享幾個自己碰到的狀況

對方應該是手動開通

所以匯款後會顯示payment那欄寫 in progress,然後時間還是繼續倒數

和版友討論可能跟時差、 或是對方手動處理有關~

過了大概12hr, 我的那欄終於從 in progress 變成 completed

謝天謝地

殊不知

下載解密檔的那欄還是點不下去,而時間他馬不停蹄的還在倒數

以下省略一頁髒話

但除了等待跟罵髒話好像也不能怎麼樣 (我在剩76hr時付的款,大約剩64時轉completed)

每天上網查看也沒有進展

一直到剩52hr 時他有出一個有問題可以提問的頁面

我就開始每天留言:

1.After I paid the payment,the link of the “Download UltraDeCrypter” didn`t
work, and my Transfer ID is “XXXXXXXXXXXXX” Please give me the UltraDeCrypter and private key to decrypt my precious files,
please. I had spend a lot of money, and all I want is to get my file back,
please. The file is importment to me.

2.I had paid the payment, but the download of UltraDeCrypter on my personal
page didn`t show up. Please help me, the file are really importment to me.

之類的~

後來到剩22hr(前天晚上)時,

那天電腦又開始高轉速,然後又藍當一次,(被密後這幾天使用都很順,還是可以上網,

舊檔案打不開罷了,但不影響新檔案開啟編輯使用) 心想不會又來了吧乾~

後來重開機去勒索網頁,終於出現下載解密檔的文件給我下載我都快哭惹

心裡的大石頭也才放了下來

解密時加密檔不會自動移除,所以空間要準備一下才不會卡住,卡住就要再重來解密

因為每個人解密金鑰不同,就算我分享解密軟體,也沒辦法幫忙版上的大家QQ

根據大家的說法,病毒跳出勒索畫面後就會自動自殺

然後我自己覺得他應該是再處理其他的電腦,等到時間快到了才來處理我的問題,

就算我很早就付款了……..

拉哩拉紮打了一堆

希望對某些人有幫助啦

過程中也感謝 Wintrylove Blink173大 給的安慰與建議,謝謝你們!

這禮拜已經夠雖了

電腦爆的那天,我還租了四部影片要回家看,結果整個無心看片就還了,

還被坑了23500

更別提那周要交的報告 作業 資料都在裡面….周末都在趕工重作

乾,鳥事一堆

好險女朋友沒有跟人跑掉
…..
….

..
.

#是說沒有的東西要怎麼跑掉

#快去備份

從沒想過會在本版發文但想說自己有的經驗來跟大家分享給大家參考

來源: [心得] cryp1病毒付費心得 – 看板 AntiVirus – 批踢踢實業坊

勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情!透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招! | 資安趨勢

近期感染勒索病毒(RANSOM_Waltrix or CryptXXX)災情嚴重主因 :惡意廣告
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。

此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少,遭受攻擊的軟體種類必會愈來愈多防不勝防,因此趨勢科技提醒您,請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

這篇報導:網頁廣告成勒索軟體散播溫床,紐約時報、BBC、MSN 皆中招,文中指出”攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索軟體 Ransomware。

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

使用者經常會看到一些眼花撩亂 (甚至令人討厭) 的廣告,尤其當您必須先關閉這些廣告才能看到您要的影片或文章時,更覺得困擾。但這些網路廣告卻不光只是惱人而已,網路犯罪集團會經由這類廣告……..

近期 RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及常在 Facebook

來源: 勒索病毒 RANSOM_Waltrix( CryptXXX) 爆大量災情!透過惡意廣告發動攻擊,電腦若沒更新修補程式,光瀏覽網頁就可能會中招! | 資安趨勢