用IE上雅虎奇摩首页，勒索病毒可能找上你！

6月初开始，只要用IE上雅虎奇摩网页：tw.yahoo.com 而Flash元件没更新的话，光浏览tw.yahoo.com的首页

遇到某联播广告触发Flash漏洞，就会触发neutrino-exploit-kit，而让Crypz勒索病毒找上你！

参考来源文章

https://blog.malwarebytes.com/cybercrime/2016/06/neutrino-exploit-kit-fills-in-for-angler-ek-in-recent-malvertising-campaigns/

现象描述:

1. 6/3 开始，陆续发现有大量的勒索病毒案例发生，调查结果，这些使用者没有收到可疑邮件，所以没有开启有毒的附件。
   但这些使用者都有访问tw.yahoo.com首页后发作。但不是每个有访问该网站都会发作。
2. 调查结果属于Malvertizing活动，即一种有毒广告轮播的攻击活动。骇客集团找到漏洞后，购买合法广告，透过neutrino-exploit-kit攻击套件植入恶意程式。
3. Yahoo在6/8至6/9间，收到通报，并且将相关的恶意广告下架。
4. 如果使用Win7(含以上)的使用者，该漏洞由于会窜改启动程序，因此会跳出UAC确认，不理它没事，不小心按了确认后，就开始加密勒索的过程…

目前达友科技代理的Forcepoint的WSG仰赖ACE引擎在今年一月，即可以对该利用的漏洞与Angler-EK攻击套件手法加以防护

https://blogs.forcepoint.com/security-labs/popular-site-leads-angler-ek-cve-2015-8651-flash-player-exploit

如果尚未导入Forcepoint AP-WEB的客户，可以参考下面防护方法:

1. 还在用XP /Win2003的使用者，除了避免继续用IE + Flash外，可以改用FireFox
   (因为CHROME在Windows XP/2003 上，也不会自动更新了)
2. 其他Win7含以上新版作业系统的使用者，有新的修补、更新记得第一时间一定要安装，可以降低受攻击风险。特别是 Adobe Flash元件。如果企业有软体修补方案，务必强化Adobe Flash更新的监控，强制派送修补。
3. Win8 开始，IE的Flash元件更新已经由微软统一提供，会整合于Windows Update中，自动化更新比较方便。
4. FireFox 建议可以将Flash元件设定为[启动时询问]。 但缺点是访问一些网页时，画面会于Flash元件区块，跳出灰色的洞洞，需要互动后才可以执行。但一般人实在很难研判有没问题，不小心执行了有问题的Falsh还是会有感染风险。
5. 避免用Local Administrator等级的权限上网，降低恶意程式感染的影响。

也可以参考下面文章:

http://www.mobile01.com/topicdetail.php?f=508&t=4834486

https://plus.google.com/118062628172252352420/posts/QTibTbBaCnG

https://www.facebook.com/amenaka.isima/posts/1210413098983422

中央社／认识勒索软体 这3件事要知道

http://www.cna.com.tw/news/ahel/201606180090-1.aspx

 

Runpc／运用垃圾邮件入侵 勒索软体成企业头痛问题

http://www.runpc.com.tw/news.aspx?id=101645

 

三立新闻网／越来越猖獗！ 认识「勒索软体」 这3件事要知道

http://www.setn.com/News.aspx?NewsID=156730