2016 年 08 月 18 日 – 資安趨勢部落格

繼會偷偷幫你點色情廣告，讓你手機帳單暴增和假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身，遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。

《Pokemon GO》手機遊戲如旋風般橫掃全球，網路犯罪集團早就盯上這波熱潮，連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現，趨勢科技將它命名為：Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇，然而在經過仔細研究之後，我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。

在受害電腦上建立網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號，並且將此帳號加入系統管理員 (Administrator) 群組。此外，駭客還透過修改系統登錄的方式，讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時，它還會在受害者的電腦上建立一個網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時，就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔是複製到可卸除式磁碟時，它還會順便建立一個自動執行 (autorun) 檔案，這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟，則會複製到磁碟的根目錄。歹徒透過這樣的方式，讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示，有多個跡象顯示這個勒索病毒目前仍在開發階段。首先，它採用了固定的 AES 加密金鑰：「123vivalalgerie」。其次，其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址，這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看，它似乎是針對阿拉伯語系的國家而開發，勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此，其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思)，這似乎也透露出程式開發者的國籍。