用IE上雅虎奇摩首頁，勒索病毒可能找上你！

6月初開始，只要用IE上雅虎奇摩網頁：tw.yahoo.com 而Flash元件沒更新的話，光瀏覽tw.yahoo.com的首頁

遇到某聯播廣告觸發Flash漏洞，就會觸發neutrino-exploit-kit，而讓Crypz勒索病毒找上你！

參考來源文章

https://blog.malwarebytes.com/cybercrime/2016/06/neutrino-exploit-kit-fills-in-for-angler-ek-in-recent-malvertising-campaigns/

現象描述:

1. 6/3 開始，陸續發現有大量的勒索病毒案例發生，調查結果，這些使用者沒有收到可疑郵件，所以沒有開啟有毒的附件。
   但這些使用者都有訪問tw.yahoo.com首頁後發作。但不是每個有訪問該網站都會發作。
2. 調查結果屬於Malvertizing活動，即一種有毒廣告輪播的攻擊活動。駭客集團找到漏洞後，購買合法廣告，透過neutrino-exploit-kit攻擊套件植入惡意程式。
3. Yahoo在6/8至6/9間，收到通報，並且將相關的惡意廣告下架。
4. 如果使用Win7(含以上)的使用者，該漏洞由於會竄改啟動程序，因此會跳出UAC確認，不理它沒事，不小心按了確認後，就開始加密勒索的過程…

目前達友科技代理的Forcepoint的WSG仰賴ACE引擎在今年一月，即可以對該利用的漏洞與Angler-EK攻擊套件手法加以防護

https://blogs.forcepoint.com/security-labs/popular-site-leads-angler-ek-cve-2015-8651-flash-player-exploit

如果尚未導入Forcepoint AP-WEB的客戶，可以參考下面防護方法:

1. 還在用XP /Win2003的使用者，除了避免繼續用IE + Flash外，可以改用FireFox
   (因為CHROME在Windows XP/2003 上，也不會自動更新了)
2. 其他Win7含以上新版作業系統的使用者，有新的修補、更新記得第一時間一定要安裝，可以降低受攻擊風險。特別是 Adobe Flash元件。如果企業有軟體修補方案，務必強化Adobe Flash更新的監控，強制派送修補。
3. Win8 開始，IE的Flash元件更新已經由微軟統一提供，會整合於Windows Update中，自動化更新比較方便。
4. FireFox 建議可以將Flash元件設定為[啟動時詢問]。 但缺點是訪問一些網頁時，畫面會於Flash元件區塊，跳出灰色的洞洞，需要互動後才可以執行。但一般人實在很難研判有沒問題，不小心執行了有問題的Falsh還是會有感染風險。
5. 避免用Local Administrator等級的權限上網，降低惡意程式感染的影響。

也可以參考下面文章:

http://www.mobile01.com/topicdetail.php?f=508&t=4834486

https://plus.google.com/118062628172252352420/posts/QTibTbBaCnG

https://www.facebook.com/amenaka.isima/posts/1210413098983422

中央社／認識勒索軟體 這3件事要知道

http://www.cna.com.tw/news/ahel/201606180090-1.aspx

 

Runpc／運用垃圾郵件入侵 勒索軟體成企業頭痛問題

http://www.runpc.com.tw/news.aspx?id=101645

 

三立新聞網／越來越猖獗！ 認識「勒索軟體」 這3件事要知道

http://www.setn.com/News.aspx?NewsID=156730