《奪魂鋸》殺人魔化身勒索軟體 JIGSAW:重新開機,刪除 1,000 個檔案;未在 72 小時內付款,刪除所有加密檔案

 

「YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站,別再看這麼多色情影片了。現在你必須付出代價)這是新的加密勒索軟體JIGSAW 的勒索訊息之一

《奪魂鋸》殺人魔現身勒索軟體:「I want to play a game with you….」

 

為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。趨勢科技最近發現了一個棘手的加密勒索軟體 Ransomware家族叫做「JIGSAW」(電動線鋸),讓人聯想到Saw《奪魂鋸》這部恐怖電影。此惡意程式會將使用者的檔案加密,然後隨時間逐批刪除。這樣的作法,在某種程度上可以製造使用者心理上的恐懼和壓力,最後受不了而就範。它甚至用上了《奪魂鋸》當中鬼臉木偶比利的圖片,並且搭配紅色數字倒數時鐘。JIGSAW 就像 PETYACERBER 家族一樣,只不過是近幾個月才新出現的家族。不過,就技術面而言,各勒索軟體 Ransomware家族之間並無太大差異。

 

經由免費雲端儲存服務「1fichier.com」為感染媒介

根據趨勢科技的分析,JIGSAW 是經由免費雲端儲存服務「1fichier.com」所下載的檔案感染。此服務之前就曾經散布過其他惡意程式,如專門竊取資訊的 FAREIT,以及專門竊取比特幣Bitcoin 的 COINSTEALER。趨勢科技已通知 1ficher 有關此威脅的情況,而他們也已移除了相關的網址。此外,此惡意程式也可能從 hxxp://waldorftrust.com 下載,此處的 JIGSAW 大多暗藏在採礦軟體當中。

《奪魂鋸》裡的木偶比利放話:時間拖得越久,遭到刪除的檔案將越多,贖金也會跟著提高

加密勒索軟體 Ransomware一旦在電腦上執行,使用者就會看到電影《奪魂鋸》裡的木偶比利圖片以及一段勒索訊息。

圖 1:JIGSAW 顯示勒索訊息以及鬼臉木偶比利的圖片。
圖 1:JIGSAW 顯示勒索訊息以及鬼臉木偶比利的圖片。

 

史上贖金增加速度最快的勒索軟體

勒索訊息提到,時間拖得越久,使用者遭到刪除的檔案將越多,贖金也會跟著提高,使用者需支付的贖金大約是 20 至 150 美元起跳。近期的加密勒索軟體 Ransomware都會隨著時間而提高贖金,只不過增加的速度不像 JIGSAW 這麼快。除了贖金提高之外,隨著時間流逝,惡意程式也會逐步增加它所刪除的檔案數量。

JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態,每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。

 

圖 2:利用倒數計時來製造壓力,逼迫使用者就範。
圖 2:利用倒數計時來製造壓力,逼迫使用者就範。

 

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin2016雲端版) 榮獲獨立測試機構 AV-TEST Institute頒發「頂尖產品」(Top Product) 認證。

趨勢科技PC-cillin雲端版 領先 22 項資安產品,榮獲「頂尖產品」認證!即刻免費下載


JIGSAW是第一個會先將使用者檔案複製並加密成「.fun」檔案然後再刪除原始檔案的加密勒索軟體。不過,其某些變種所使用的副檔名略有不同,如:.KKK、.BTC 和 .GWS 都有。此惡意程式會將以下類型的檔案加密:

圖 3:JIGSAW 所加密的檔案類型 (副檔名)。
圖 3:JIGSAW 所加密的檔案類型 (副檔名)。

 

圖 4:JIGSAW 將副檔名改成 .BTC。
圖 4:JIGSAW 將副檔名改成 .BTC。

 

圖 5:紅字標示的是被刪除的檔案,綠字標示的是被加密的副本。
圖 5:紅字標示的是被刪除的檔案,綠字標示的是被加密的副本。

 

威脅:若使用者強制將電腦重新開機,就會刪除 1,000 個檔案,而且將不再保留副本

此外,勒索訊息還提到,若使用者強制將電腦重新開機,就會刪除 1,000 個檔案,而且將不再保留副本。而且使用者若未在 72 小時內付款,所有被加密的檔案都將遭到刪除。

圖 6:重新開機警告訊息。
圖 6:重新開機警告訊息。

 

儘管 JIGSAW 看來很恐怖,但其結構基本上還是非常簡單。它並無其他加密勒索軟體 Ransomware所沒有的能力。但 JIGSAW 卻利用一些心理戰來彌補技術上的不足。其嚇人的畫面和逼迫使用者就範的技巧,比其他勒索軟體有過之而無不及。

色情網站是感染途徑之一

根據趨勢科技的分析,歹徒除了利用可能有害的程式 (PUA) 和廣告程式散播此勒索軟體之外,還會利用一些色情網站為感染途徑。有一個 JIGSAW 版本使用的並非鬼臉木偶比利的圖片,而是一些色情圖片,然後告訴使用者:「YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站,別再看這麼多色情影片了。現在你必須付出代價)。而勒索訊息內容則和前述相同。還有另一個 JIGSAW 版本會顯示粉紅色花朵的圖片。

圖 7:另一個 JIGSAW 版本的背景圖片。
圖 7:另一個 JIGSAW 版本的背景圖片。

 

整體情勢

JIGSAW 並非唯一訴諸恐懼的加密勒索軟體。最近還有另一個叫做「MAKTUBLOCKER」的加密勒索軟體,專門透過電子郵件挾帶的惡意檔案感染使用者電腦。其電子郵件能夠得逞的原因,是因為電子郵件當中含有使用者的真實姓名和住家地址,讓使用者不疑有他。很顯然的,加密勒索軟體現在不僅會想盡各種辦法來感染更多使用者,同時也開始發展出新的技巧來逼迫使用者支付贖金。

解決之道

加密勒索軟體越來越難加以防範。這也正是為何使用者應該定期備份自己的資料,並且遵守「3-2-1 備份原則」來保障資料安全。如此可降低勒索軟體帶來的損害。請注意,支付贖金絕對無法保證歹徒會信守承諾讓您救回檔案。

趨勢科技的各項端點防護產品,包括:  趨勢科技PC-cillin 2016雲端版 、  趨勢科技 Smart Protection Suites以及Worry-Free Pro都能偵測這項威脅的惡意檔案及電子郵件,有效防範使用者電腦遭到感染。此外,這些產品還能攔截所有可能散布惡意程式的相關惡意網址。採用趨勢科技 Smart Protection Suites 的系統,也可利用趨勢科技 Endpoint Application Control端點應用程式控管來防範這項威脅。

相關檔案的 SHA1 雜湊碼如下:

  • 0C269C5A641FD479269C2F353841A5BF9910888B – Ransom_JIGSAW.A
  • DC307A673AA5EECB5C1400F1D342E03697564F98 – Ransom_JIGSAW.A
  • CE42E2C694CA4737AE68D3C9E333554C55AFEE27 – Ransom_JIGSAW.A
  • 1AD9F8695C10ADB69BDEBD6BDC39B119707D500E – Ransom_JIGSAW.B
  • CA40233610D40258539DA0212A06AF29B07C13F6 – Ransom_JIGSAW.C
  • F8431CF0A73E4EDE5B4B38185D73D8472CFE2AE7 – Ransom_JIGSAW.C
  • DCE911B1C05DA965C8733935723B88BC29D12756 – Ransom_JIGSAW.D
  • 3F6E3E5126C837F46A18EE988DBF5756C2B856AA – Ransom_JIGSAW.E
  • 92620194A581A91874A5284A775014E0D71A9DB1 – Ransom_JIGSAW.E

原文出處:New Crypto-Ransomware JIGSAW Plays Nasty Games作者Jasen Sumalapao

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


延伸閱讀:

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集


如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?

★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體

ransomware banner


▼ 歡迎加入趨勢科技社群網站▼

好友人數