當某種威脅開始以「在地化」方式出現時,即意味著駭客已在該地區嗅到錢的味道。勒索病毒 Ransomware (勒索軟體/綁架病毒)在全世界各地都賺進數百萬美元的非法獲利,現在他們準備開拓「中國」這片新的疆土。不過,這個初步嘗試似乎犯了不只一個錯誤。
趨勢科技最近發現簡中版的勒索病毒 Ransomware:Ransom_SHUJIN.A惡意程式。它的對象顯然是中國大陸。該勒索病毒在執行之後會出現下列訊息:
訊息的內容與其他勒索軟體相似,不外乎告訴使用者其檔案已被加密,並且註明有多少檔案被加密,以及被加密的檔案共多大。
此外,勒索訊息也和其他勒索軟體大同小異,包括:去哪裡下載TOR瀏覽器,如何連上歹徒架設在黑暗網路(Dark Web)的網站。
從勒索訊息可以看出程式的作者顯然熟悉中文,其進一步指示也針對當地的狀況做了一些調整:駭客建議使用者到「百度」而非 Google 搜尋 Tor 瀏覽器,此外由於 Tor 在中國遭到封鎖的緣故,所以駭客也指示使用者透過虛擬私人網路 (VPN) 或代理伺服器來避開這個問題。
其網站上的指示與其他勒索軟體大致相同,我們在下圖標出其指示步驟中的網址:
這些網址分別為:
- hxxp://eqlc75eumpb77ced[.]onion/Decrypt.exe – 新版的 Ransom_SHUJIN.A 程式
- hxxp://eqlc75eumpb77ced[.]onion/GetMKey.JPG – 指示步驟
- hxxp://eqlc75eumpb77ced[.]onion/btc/ – 比特幣教學
- hxxp://eqlc75eumpb77ced[.]onion/btc/help.html –比特幣教學
- hxxp://eqlc75eumpb77ced[.]onion/DeFile.JPG – 解密說明
不過,SHUJIN 有些地方似乎不太對勁。本文從頭到尾都稱呼這是一個勒索病毒 Ransomware ,而非加密勒索軟體。為何呢?因為,雖然恐嚇訊息寫得很嚇人,但實際上檔案根本沒有被加密。
此外,利用比特幣(Bitcoin)和 TOR來支付贖金也不尋常,因為不論是使用 Tor 或是取得比特幣,都需要相當的技術背景才辦得到。中國過去也曾出現過行動裝置勒索軟體,而那些案例使用的是中國當地非常流行的支付寶 (Alipay) 來支付贖金,而且駭客的聯絡方式也是當地流行的 QQ 帳號。
儘管訊息內的中文寫得相當流暢,從 SHUJIN 對中國網路現況掌握度不夠充分的情況來看,駭客可能並非中國當地人士。未來,仍應該密切注意歹徒改變手法,採用中國百姓熟悉的付款方式。
雜湊碼
以下是此攻擊相關的 SHA1 雜湊碼:
- D6BAA9BE02723430EADE33432F7718FD93DD838B
原文出處:Chinese-language Ransomware Makes An Appearance作者:Jasen Sumalapao (威脅回應工程師)
延伸閱讀:
★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集
如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。