Zepto 是一個最近隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種,這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知,Zepto 與 Locky 勒索病毒家族有所淵源,此家族專門利用垃圾郵件 (及其他方式) 來大量散布。
根據 Cisco Talos 威脅情報中心的報告,這波挾帶勒索病毒的垃圾郵件行動從 6 月 27 日開始採用一套新的檔案命名方式 (「swift [XXX|XXXX].js」),並且運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切,信件一旦開啟,就會在背後執行一個惡意的 Javascript,然後將使用者電腦上的檔案全部加密,並加上「.zepto」這個附檔名。
【 延伸閱讀:勒索病毒竟知道你家地址? 】
在某個二進位惡意程式下載並執行之後,本機上的所有檔案都會被加密,接著惡意程式會顯示一個訊息,要求受害者支付一定的比特幣(Bitcoin)作為贖金。使用者看到的指示畫面是由惡意程式在電腦上植入的一個 .HTML 檔案和一個影像檔案所組成,同時桌面背景/桌布也會被換掉。在大規模垃圾郵件行動的推波助瀾下,Zepto 似乎獲得了不錯的成果,不過大多數的勒索病毒都是經由其他管道散布。
與 Locky 的淵源
Zepto 與 Locky (趨勢科技命名為 RANSOM_LOCKY.A) 在技術上頗有相似之處,他們都是經由垃圾郵件散布,並且使用 RSA 加密來鎖住檔案。Locky 自從 2016 年 2 月現身以來,即不斷演進,並且成功擄獲不少個人及企業受害者,除此之外更曾經出現在多起針對醫療院所的重大勒索病毒攻擊。 繼續閱讀