非官方App市集多危險?潛在惡意App中標率是Google Play的3倍

Google本周公布了第二次的Android的年度安全報告,指出只安裝Google Play的Android裝置取得潛在有害程式的機率不到0.15%,若同時安裝其他程式市集,載到潛在有害程式的機率則是0.5%。

為了讓外界與Android用戶更了解Android的安全生態體系,Google自前年展開Android的安全調查,並於去年發表首份Android年度安全報告。

Google表示,該公司強化了機器學習能力及事件關聯性來偵測潛在的有害行為,包括每天檢查超過60億個用戶所安裝的行動程式以偵測惡意程式及潛在有害程式(Potentially Harmful Apps ,PHAs),每天掃描4億支裝置上的網路與裝置威脅,以及透過Safe Browsing保護Android裝置上的數億名Chrome用戶。

另一方面,Google也著手阻撓PHAs進入Google Play,與2014年相較,去年透過Google Play安裝PHAs的可能性減少了40%,

被Google列為潛在有害程式的對象包括間諜程式、惡意下載器,以及那些會蒐集使用者資料的程式,這一年來,自Google Play上安裝到間諜程式的比例為0.02%、安裝到惡意下載器的比例為0.01%,安裝到資料蒐集程式的比例為0.08%,分別下滑了60%、50%與40%。

Google指出,如果使用者只自Google Play下載程式,那麼安裝PHAs的比例低於0.15%,若同時自Google Play及其他行動程式市集下載程式,相關裝置安裝PHAs的比例即達到0.5%。

Google還祭出了其他方法來加強Android的安全性,諸如程式驗證服務Verify Apps、於Android平台上添加安全機制,以及供應獎金的抓漏專案等。

 

資料來源:http://www.ithome.com.tw/

中了加密勒贖軟體Petya別緊張,專家釋出破解方法

加密勒贖軟體Petya肆虐,先偽裝為求職者信,誘騙受害者開啟履歷,再在受害者的電腦中加密硬碟的主開機檔,進而求支付贖金取得解密金鑰,所幸網路上已有高手提供破解方法,讓受害者不需付贖金就能自行產生解密金鑰,救回被加密的主開機檔。

名為Petya的硬碟加密勒贖軟體在肆虐兩周後,有高手製作出解密工具並在網路上公開釋出。這隻勒贖軟體三月底開始流傳而聲名大噪。受害者接到冒充面試者寄來的履歷,在不疑有他情況下下載並開啟後數秒即出現Windows藍色死亡螢幕而當機。等電腦重新開機後,電腦開始貌似Windows磁碟檢查的過程,實際上是Petya正在加密主開機檔(master boot file),導致硬碟無法使用。

接著受害者會看到一個紅色為底的白色骷髏頭像(如上圖),按下按鍵後出現訊息告知用戶檔案遭到加密,要求付款以取得硬碟解密金鑰。如果受害者延遲不付款,一周內贖金就會加倍。

不過所幸有俠義的高手相助。網路上一名為@leostone的專家製作了一項工具並在網路上釋出,宣稱能產生Petya要求解密主開機檔的金鑰密碼,取回被加密的硬碟,「而且不用支付贖金」。

根據DIY電腦論壇bleepingcomputer網頁指出,使用這個密碼產生器前,必須將感染電腦的啟動磁碟取出,連到另一台乾淨的電腦,然後依網頁指示從被加密的硬碟中撈出資料,包括位於sector 55 (0x37h) offset 0(0x0)的512 bytes資料,以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼,然後輸入該作者設立的網頁程式(https://petya-pay-no-ransom.herokuapp.com/https://petya-pay-no-ransom-mirror1.herokuapp.com/)中取得密碼。

然而一般人可能無法執行上述動作,為此,另一名高手Fabian Wosar又製作了可簡單撈取資料的工具供下載。不過受害者還是需要把被加密的硬碟取出再連到正常運作的Windows電腦。網頁也建議可使用USB硬碟外接盒將硬碟接上電腦。

加密勒贖軟體已成近年最猖獗的電腦界禍患之一,從Mac OS、Windows和Linux幾乎無一倖免。安全界也開始設法提供解藥,例如安全公司Bitdefender不久前才釋出可預防目前主要勒索軟體包括Locky、TeslaCrypt與CTB-Locker的工具。

資料來源:http://www.ithome.com.tw/

Flash新漏洞恐遭勒索軟體攻擊,Adobe緊急修補

FireEye、Google、ProotPoint等向Adobe舉報Flash有新漏洞,恐使用戶曝露於勒索軟體攻擊,Adobe已緊急修補該漏洞。

奧多比(Adobe)終於釋出Flash軟體漏洞的修補程式,以防堵傳送勒索軟體到受害者電腦的攻擊行為。

Adobe呼籲使用該軟體包括 Windows、Mac、Chrome及Linux多達10億以上的用戶盡速下載安裝更新。

勒索軟體攻擊近來有上升趨勢,這種軟體會將受害者電腦中的資料加密上鎖,要求受害者支付數額不等的贖金,才會提供密碼或金鑰把資料解鎖,某些針對一般用戶的贖金要求可能從200到800美元不等,而日前在美國發生多起針對醫療院所的勒索軟體攻擊,贖金要求則達到17000美元以上。

Adobe表示,這次修補的漏洞是由FireEye、Google以及ProotPoint等公司提供告知。

資料來源:http://www.ithome.com.tw/

 

Bitdefender釋出對抗勒索軟體的免費工具

防毒軟體公司Bitdefender釋出一款號稱能夠對抗勒索軟體的工具:Bitdefender Anti-Ransomware,即便不是Bitdefender防毒軟體的用戶亦可免費使用。

Bitdefender指出,Bitdefender Anti-Ransomware可預防目前流行的幾款勒索軟體,包括Locky、TeslaCrypt與CTB-Locker,其中Locky是最近剛被發現的新型勒索軟體,其勒索訊息包含中文版本,在中國已經陸續傳出Locky的受害災情。

Bitdefender安全策略長Catalin Coso表示,新版Bitdefender Anti-Ransomware其實是源於Bitdefender用來對抗勒索軟體CryptoWall的預防工具。隨著CryptoWall之後改變其運作方式,雖然該預防工具失效了,不過,對於目前主流的Locky、TeslaCrypt與CTB-Locker而言,Bitdefender Anti-Ransomware仍有預防保護效果,因而Bitdefender將其免費釋出,而且也不限定是Bitdefender的用戶,讓更多人可以預防勒索軟體的威脅。

Bitdefender公司目前並未對外說明Bitdefender Anti-Ransomware軟體的運作方式,值得使用者注意的是,此款預防勒索軟體的工具並不能取代防毒軟體等相關資安軟體,只是針對Locky、TeslaCrypt與CTB-Locker等3種勒索軟體具有預防效果。

Bitdefender Anti-Ransomware下載網址:http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe

勒索軟體是近來令人頭痛的大問題,隨著勒索軟體的日益猖獗,受害災情可謂哀鴻遍野。而且勒索軟體已經不再是隨機犯案,近來國外傳出多起醫療機構被勒索軟體綁架,導致醫療資訊系統停機、醫院幾乎停擺的事件,更顯示操控勒索軟體的網路犯罪組織不再散彈打鳥,而是進一步鎖定勒索目標。就Bitdefender Anti-Ransomware作為多一道的預防措施,也不失為是可行的方法。

資料來源:http://www.ithome.com.tw/

勒索軟體KeRanger為何瓦解OS X安全神話

近年勒索軟體事件頻傳,而多半事件都是發生在Windows作業系統平臺上。然而在近日,連Mac OS X也出現了第一個功能完整,並且可以對系統造成實際傷害的勒索軟體KeRanger,雖然事後僅有約6,000名Mac用戶受到影響。但此事的爆發,對於長久被視為資安淨土的OS X,無非不是個警訊。

資安公司Palo Alto Networks威脅情報小組Unit 42資深研究員Vicky Ray來臺參與2016資訊安全大會時也表示,勒索軟體造成的影響甚鉅,但是「許多人過去討論勒索軟體時,範圍都僅限定於安裝Windows的機器。」

當Unit 42發現這個藏身於BT下載軟體Transmission中的勒索軟體後,除了將自家資安解決方案進行更新外,也馬上通知蘋果及Transmission撤回KeRanger所使用的憑證,而Transmission也緊急把應用程式撤下,讓災情並沒有繼續擴大。

Vicky Ray表示,此次透過三方的快速合作,才得以讓傷害降到最低。而Keranger之所以能造成傷害,其中的關鍵是「使用了通過蘋果簽署的憑證,才能讓惡意軟體成功繞過OS X的安全防禦機制。」

而Unit 42分析此勒索軟體後發現,一旦它成功安裝在OS X上後,KeRanger會在作業系統中蟄伏3天,之後便開始加密使用者的文件,並且索取1比特的贖金。甚至,目前仍持續開發中的KeRanger,也企圖加密Time Machine中的備份檔案,避免使用者藉由回復備份資料,躲避勒索軟體的威脅。

過去Mac OS X經常被視為最安全的作業系統,但是歷經這一次爆出勒索軟體的消息,「此事件相當重要,因為它喚起了眾人的警覺。」Vicky Ray認為,多年以來,大眾都認為Mac OS X是完全安全,與日常發生的威脅事件都擦不上邊。在過去,雖然Windows平臺所遭受威脅數目比確實OS X高的很多,但是「這一次的案例顯示,即使是Mac OS X也是面臨著許多威脅。」

除了打破蘋果的安全神話外,KeRanger是具備了經過簽署的Mac程式開發憑證,因此可以成功繞過蘋果的Gatekeeper,「蘋果有相當嚴格的審核機制,而KeRanger取得經合法認證的憑證」。因此Vicky Ray也認為,過去對經簽署憑證的信賴關係,事件受到破壞。

在分析資安威脅同時,Vicky Ray更提醒「資安事件的情境 (context)也非常重要。」Unit 42的研究小組除了持續尋找外部威脅外,同時也必須確認資安攻擊者握有的資源、攻擊動機及策略。

他表示,資安分析師每天都在檢視不同的威脅,並且經常將各種威脅視為單一案例,「但是這些攻擊事件的情境,常常是遺失的重點。」他舉例,像是組織是否已經被同樣的攻擊者鎖定一段時間,或是某些惡意軟體經常被使用於攻擊特定對象。

Vicky Ray表示,過去分析這些情境都必須花上數周時間。但是在使用Palo Alto Networks推出的大資料智慧威脅解決方案AutoFocus,集結了Unit 42的研究結果、第三方的回饋及每天成千上萬的病毒樣本,可以將分析時間縮短至數秒鐘。他呼籲,企業必須主動預防威脅,而不是偵測威脅。「等到偵測至威脅時,通常都已經為時已晚。」

現代勒索軟體可以追溯至2005年的Trojan.Gpcoder,其將受害者資料加密後同時刪除原始的文件。Vicky Ray表示,勒索軟體已經對使用者造成風險許久年,而在過去5年或10年,針對資安的防護,重點往往都放在威脅偵測。「在過去偵測威脅或許是有效的防治作法,但是到了現今卻不適用了。」如果等到系統偵測到威脅,通常已經為時已晚。因此他認為,只有做好事前預防才是更根本的做法。

而蘋果電腦的使用者怎麼防範來自勒索軟體的威脅?「察覺(awareness)是關鍵。」他表示,察覺風險是保障自我安全的關鍵,而這也是Unit 42將資安研究成果公開的關鍵原因。

雖然過去蘋果電腦帶給使用者安全的印象,不過Vicy Ray認為,使用者必須了解自己正在下載的應用程式,以及這些應用程式的來源。他表示,有許多提供應用程式下載的地方其實並不安全,或許甚至並沒有通過蘋果的認證,「使用者必須察覺到,這些應用程式的來源並不安全,很可能下載到不安全的東西。」

除了個人使用者外,政府機關或是大型企業由於組織龐大,面臨到資安事件爆發時往往無法快速反應。曾經任職於金融產業的Vicky Ray也表示,當今金融產業的面臨的資安風險仍然持續在成長,並且同時面臨來自內外的威脅。例如,企業旗下客戶會特別遭到外部駭客鎖定,而組織內部團隊的高層人員同樣可能會竊取機密資料。

Vicky Ray也建議,使用者除了建立察覺風險的意識外,「我們必須利用更全面(holistic)的角度檢視威脅。」

他解釋,面對不同種的惡意軟體,使用者可能都有各自的解決方案,「但是這些解決方案,各自間並不互相溝通、連結」,對於資安事件的反應時間就會變得比較遲鈍。因此Vicky Ray認為,建立一個首重預防的資安全面平臺相當重要。

3步驟對抗OS X勒索軟體 KeRanger 

1. 搜尋磁碟中的惡意程式

使用終端機或是Finder,搜尋/Applications/Transmission.app/Contents/Resources/ General.rtf或是/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf路徑是否存在。如果存在,代表使用者已經遭受到感染,必須將此些檔案刪除。

2. 搜尋背景執行的惡意程式

利用Mac OS X中預設的活動監視器(Activity Monitor),檢查kernel_service此程序是否正在運行。如果在運行的話,確認/Users/<用戶名稱>/Library/kernel_service的檔案是否存在。如果存在,將此程序強制結束。

3. 確認惡意軟體存在後,將可疑檔案徹底移除

完成上述步驟後,在 ~/Library目錄夾中,檢查是否存在以下4個可疑檔案:kernel_pid、 kernel_time、 kernel_complete及 kernel_service。如果有,也一併刪除。

資料來源:http://www.ithome.com.tw/

小心! 含毒垃圾郵件大增,原來是勒索軟體搞鬼

Trustwave觀察過去一週約有400萬含有病毒的垃圾郵件,佔整體垃圾郵件約18%,這些惡意的垃圾郵件中大多數含有JavaScript的附加檔案,以散佈Locky勒索軟體,加密電腦中的資料,並要求受害者支付贖金。Trustwave建議企業可利用電子郵件閘道器攔截垃圾郵件,並封鎖其中含有JavaScript附加檔案或是Office巨集文件的惡意郵件。

資安業者Trustwave發出警告,他們觀察到大量含有病毒的垃圾郵件,且病毒類型為Locky勒索軟體,因而對外提出警告。Trustwave說明,他們在7天之中看到了400萬封含有病毒的垃圾郵件,佔據所有垃圾郵件的18%,一般而言,垃圾郵件中的惡意郵件比例通常不到2%,而且這些大量的惡意郵件絕大多數都是Locky勒索軟體的下載器。

進一步解析這些惡意郵件,發現含有一個JavaScript的附加檔案,開啟後可用來下載Locky勒索軟體,它會加密使用者電腦上的檔案並要求贖金。

傳遞這些病毒郵件的是既有的垃圾郵件殭屍網路,該殭屍網路過去也曾傳遞過用來下載Dridex木馬程式的惡意巨集,只是這次將傳遞的內容改為JavaScript與Locky。

Trustwave建議企業可利用電子郵件閘道器來攔截大量的垃圾郵件,並封鎖含有JavaScript附加檔案或是Office巨集文件的郵件。

資料來源:http://www.ithome.com.tw/

勒索軟體肆虐!企業應提高警戒

3年前Dell SecureWorks的資安研究員發現加密型式的勒索軟體CryptoLocker,如今2016年了,勒索軟體的危害不僅未曾消退,在攻擊手法不斷變種的情況下,威脅反而日益增大。由於近來臺灣受害災情快速擴大,企業對於勒索軟體可不能掉以輕心。

CryptoLocker這類加密型勒索軟體之所以惡名昭彰,在於這款勒索軟體入侵電腦後,就會鎖定使用者常用的檔案類型,如Office文件檔案、圖片檔案等,偷偷將這些檔案陸續以RSA公私鑰加密機制執行加密,一旦加密作業完成,CryptoLocker就會顯示勒索訊息,要求使用者依指示支付贖金,以取得可以解密檔案的私鑰。

這種將原本用來保護資訊安全的加密機制,反過來做為勒索的工具,讓許多受害者非常痛苦。因為RSA 2048位元加密可不是一般人破解得了,倘若沒有備份檔案,不付贖金就肯定是要放棄被綁架的檔案,然而個人電腦裏有許多文件、照片檔案都是生活中重要的記錄,或是工作上的重要資料。有的人因此被迫要放棄小孩的所有照片,痛苦萬分;有的公司因為重要業務資料被綁架,一片人仰馬翻。

然而,上述只是CryptoLocker初期作虐的受害情景,在勒索軟體不斷變種、攻擊手法不斷變化的情況下,勒索軟體對企業的危害更加嚴重了。現今,勒索軟體的威脅已經不只是個人電腦,就連網站伺服器也會被綁架勒索;而企業受害的情況也不再只是喪失幾臺電腦的資料而已,而是整個業務營運被迫中斷。

勒索軟體雖然也是惡意程式,但企業必須了解勒索軟體與一般惡意程式的特性有所不同。在背後操作勒索軟體的組織,都是以獲利為考量的網路犯罪組織,他們之所以會把受害者電腦的檔案加密起來,就表示他們要的不是資料,而是贖金,也因此,操作勒索軟體的犯罪組織一定會持續尋找最容易付贖金的標的。

有些人在被勒索軟體綁架後,痛恨犯罪組織,不想因為支付贖金而助長網路勒索歪風,遂忍痛割愛,這樣犯罪組織就無法得逞。於是,犯罪組織把目標轉向網站伺服器,除非被綁架的網站有勤做備份,或能夠承受長時間中斷網站營運,甚至狠下心關站,否則大部分被綁架的網站都只能乖乖繳贖金。

不僅如此,從一些現象不難發覺操作勒索軟體的犯罪組織正一步步瞄準企業的要害,像是綁架加密的檔案類型不再只是Office文書檔案,甚至會鎖定如設計圖檔等關乎企業命脈的重要資料。最近資安專家新發現的一種勒索軟體Locky,不僅會加密電腦本地端的檔案,還會尋找網路上的磁碟機,其危害更是直指企業內部網路。

再者,勒索軟體也開始盯上無法承受業務營運中斷的產業,像是醫療業最近就是災情頻傳。2月中旬,在美國與德國都發生多起醫院被勒索軟體綁架的事件,而這些醫院的醫療資訊系統都因此無法運作,整家醫院被迫重回沒有電腦的時代,X光片檔案被綁架無法開啟、醫生重回手寫病歷、檢驗結果只能靠電話傳真來傳遞,重大的病患或重要的手術,也被迫要轉診。

在過去,很難有什麼惡意程式能夠讓醫院發生上述整個停機的情況,但現在,單單一個勒索軟體就有這麼大的破壞力。所以,企業對於勒索軟體不能等閒視之。

企業也不能再以為臺灣不是勒索軟體的重災區,雖然CryptoLocker肆虐時,臺灣的災情可說是雷聲大雨點小,但是根據趨勢科技的研究,2015年上半年臺灣遭遇勒索軟體的數量,足足是2014年的3倍;而且,資安專家也在上述的Locky勒索軟體中,首度發現中文版勒索信。這些訊息在在證明,勒索軟體已經在臺灣肆虐,企業應該要立即提高警戒。

資料來源:http://www.ithome.com.tw/

鎖定Mac OS X的新勒索軟體現身,安裝Transmission要小心

資安業者Palo Alto Networksr近期揭露了一款鎖定Mac OS X的新勒索軟體KeRanger,這並不是OS X上出現的第一個勒索軟體,卻是該平台上首個具備完整功能且的確可造成傷害的勒索軟體。

Palo Alto Networks指出,他們在BT下載軟體Transmission 2.9的兩個安裝檔中發現了KeRanger,而且這些安裝檔存在於Transmission官網上,懷疑是Transmission網站遭到危害,使得駭客得以將官網上的Transmission軟體置換成惡意版本。

Transmission為一開放源碼的BT(BitTorrent)客戶端程式,除了具備簡潔的介面之外,它的效能穩定且支援Windows、Linux與OS X等多個平台,因而頗受用戶好評。

根據Palo Alto Networks的分析,KeRanger具備有效的Mac程式開發憑證,因而可通過蘋果的Gatekeeper安全機制。當使用者安裝了受到感染的軟體時,系統即會執行一個嵌入檔案,KeRanger將蟄伏3天,靜待透過Tor匿名網路傳輸的C&C遠端控制伺服器的指令。

3天後KeRanger便會開始加密使用者系統上特定格式的檔案與文件,並要求受害者支付1個比特幣(約400美元)的贖金來取回檔案。仍在持續開發中的KeRanger亦企圖加密Time Machine的備份檔案以避免受害者藉由回復備份資料來逃離駭客的勒索。

在將此事通報蘋果及Transmission之後,蘋果已取消了KeRanger所使用的憑證,同時更新了XProtect病毒碼,而Transmission亦立即移除受到感染的安裝檔,並釋出Transmission 2.92。Transmission呼籲下載了Transmission 2.90的OS X用戶應馬上升級到Transmission 2.91以移除KeRanger。

2014年時卡巴斯基實驗室(Kaspersky Lab)即曾發現一款針對OS X的勒索軟體FileCoder,但當時FileCoder的功能貧乏,除了只能感染少數的OS X之外,加密能力也是殘缺的。

資料來源:http://www.ithome.com.tw/

金融業提高警覺! 新惡意程式GozNym幾天內從北美銀行盜走數百萬美元

IBM X-Force指出駭客集團融合了Nymaim與Gozi特色打造了新的木馬程式GozNym,它擁有Nymaim的隱形與持久優點,同時利用Gozi ISFB竊取金融資訊的能力,鎖定22家美國銀行、信用合作社與電子商務平台,以及2家加拿大金融機構,透過操縱網頁程序進行網路銀行詐騙攻擊。

IBM X-Force研究團隊上周揭露了一隻結合Nymaim及Gozi ISFB的木馬程式GozNym,該木馬程式已攻擊24家位於美國及加拿大的銀行,只花了短短的幾天便盜走數百萬美元。

Nymaim與Gozi ISFB皆為木馬程式,其中,Nymaim最主要的功能為勒索,同時也是一隻下載木馬,可下載諸如Ursnif金融木馬等其他惡意程式;Gozi ISFB則是一隻金融木馬程式,當被注入瀏覽器時,駭客即可監控使用者的瀏覽行為。

X-Force表示,經營Nymaim的集團融合了Nymaim與Gozi ISFB的程式碼,建立了新的GozNym木馬程式,它擷取Nymaim的隱形與持久優點,同時利用Gozi ISFB竊取金融資訊的能力,成就了一款強大的木馬程式,並針對北美的銀行展開攻擊。

調查顯示,GozNym鎖定22家的美國銀行、信用合作社與電子商務平台,以及2家的加拿大金融機構,它能夠操縱網頁程序,進行網路銀行詐騙攻擊。

根據富比士(Forbes)的報導,操縱GozNym的駭客集團來自東歐,今年4月初在短短的3天內便盜走了400萬美元。

資料來源:http://www.ithome.com.tw/

避免Windows電腦遇駭 美建議移除QuickTime

美國國土安全部網路安全小組表示,為了避免遭到駭客入侵,建議民眾移除Windows電腦中的多媒體軟體QuickTime。

繼趨勢科技(Trend Micro)公布蘋果將不再對QuickTime進行安全更新,且發現QuickTime有兩個可能受駭客侵入的安全漏洞後,美國電腦安全應變小組(CERT)今天也發出警告。

法新社報導,CERT指出,利用Windows裡的QuickTime漏洞,可遠端進行攻擊並控制,影響整個系統。

「現在唯一可以緩解的辦法,就是移除Windows中的QuickTime。」(譯者:中央社許湘欣)

資料來源:http://udn.com/news/story/5/1633461-%E9%81%BF%E5%85%8DWindows%E9%9B%BB%E8%85%A6%E9%81%87%E9%A7%AD-%E7%BE%8E%E5%BB%BA%E8%AD%B0%E7%A7%BB%E9%99%A4QuickTime