勒索病毒:幕後的運作
勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫,不僅危害一般的使用者,還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽,勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒,直到他們看到勒贖訊息突然出現在螢幕上,但那時為時已晚。
對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果,在受害者看到勒贖通知之前,這中間發生了什麼事?
1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機
不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內,通常是以可執行檔的格式。在Windows環境,惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾,原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。
2.連線到特定網站收發資訊
一旦惡意軟體進入系統,它會連上網路並且聯絡伺服器,在這個階段,勒索病毒跟命令和控制(C&C)伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡(趨勢科技偵測為RANSOM_POGOTEAR.A),惡意軟體連到特定網站來收發資訊。
3.搜尋特定類型的檔案進行加密 繼續閱讀