從六隻常見勒索病毒訊息,分辨您感染了何種勒索病毒

自從勒索病毒 Ransomware (勒索軟體/綁架病毒) 首次出現以來，其數量已翻了數倍，而且隨著新的家族和變種不斷出現，再加上原有的家族亦持續更新，這所有的跡象都顯示勒索病毒的問題仍在持續擴大當中。勒索病毒之所以能夠得逞，很重要的一個原因是它能讓受害者心生恐懼，因此很容易乖乖就範，照著勒索訊息的指示支付贖金。

勒索訊息的內容大致包含付款資訊和威脅內容：經由什麼方式付款、該付多少、不付的後果會怎樣等等。但是，受害者顯然想知道更多資訊，可能的話最好知道如何防範勒索病毒，或者，是否有辦法移除勒索病毒，例如使用免費解密工具。不過，首先您必須知道您感染的是什麼勒索病毒，以下我們將介紹x六個最常見的勒索病毒以及勒索訊息來幫助您跨出這第一步。

CERBER:會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金
CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕
奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除
Locky：迫使醫院緊急將所有電腦關機,改用紙本作業
RAA:不僅會偷密碼，還會偷比特幣錢包
MIRCOP: 做賊喊抓賊的,說自己是受害者的

當 RAA 第一次亮相時，最令人矚目的是它使用 JScript 來躲避偵測，並且讓自己更容易透過編碼來隱藏。進入系統之後，RAA (趨勢科技命名為 RANSOM_JSRAA.A) 會搜尋下列副檔名的檔案：.doc、.xls、.rft、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar、.csv 等等，接著將檔案加密，然後在檔名末端加上「.locked」副檔名。除此之外，RAA 還會在系統植入專門竊取資料的 FAREIT (亦稱為 Pony) 惡意程式，它會搜尋系統上儲存的 FTP 用戶端和其他檔案管理軟體、電子郵件用戶端、網站瀏覽器、甚至比特幣(Bitcoin) 錢包的帳號密碼。蒐集到的資料會傳送至某個幕後操縱 (C&C) 伺服器。其勒索訊息是以俄羅斯文撰寫，內容提供了支付贖金的步驟，贖金最高 0.39 比特幣 (約合 7308 台幣)。

***CERBER:*會逐字唸出勒索訊息的內容，語音提醒受害者支付贖金**

Cerber (趨勢科技命名為 RANSOM_CERBER.A) 最明顯的特徵是具備語音功能，會逐字唸出勒索訊息的內容，以說話方式不斷提醒受害者支付贖金。Cerber 犯罪集團要求的贖金為 1.24 比特幣(根據 2016 年 8 月 23 日的匯率約合 23,238 台幣)，付款期限是七天，過了期限之後贖金將加倍。正如其勒索訊息所說，受害者的照片、資料庫以及其他重要文件都已遭到加密，受害者電腦上所有下列副檔名的檔案都會遭到加密：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4、.mpg，而且副檔名會改成「.cerber」。

CryptXXX:加密檔案類型多達 200 多種,新變種會鎖住電腦螢幕

當 CryptXXX (趨勢科技命名為 RANSOM_WALTRIX.C) 一開始被發現時，它是從早期勒索病毒 Reveton 所衍生而來,經過多次改版和改頭換面之後，現在它已變得相當難以破解。最新的版本不僅會將檔案加密，某些 CryptXXX 變種還會將電腦螢幕鎖住，讓使用者根本無法使用電腦 (但這樣的作法似乎有點適得其反，因為使用者不能使用電腦就看不到勒索訊息)。CryptXXX 已知可加密的檔案類型有 200 多種，包括：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.css、.csv、.dds、.flv、.html、.key、.lit、.mov、.mp3、.mp4 以及 .mpg 等等，加密之後副檔名會變成「.crypt」。有趣的是，病毒的作者在某次更新時突然決定「大發慈悲」，給受害者更長的期限來支付 500 美元的贖金，但期限過後贖金依然會加倍。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

奪魂鋸Jigsaw:每隔一小時就會刪除一批檔案,過了 72 小時之後永久刪除

談到有創意的勒索訊息，當 Jigsaw (趨勢科技命名為 RANSOM_JIGSAW.I) 首次被發現時，我們一眼就看出它為何叫 Jigsaw。因為它顯然借用了好萊塢恐怖電影《奪魂鋸》(Saw) 的意象和名稱，而且在勒索訊息上還顯示了一個倒數計時器來提高受害者心裡的壓力。Jigsaw 感染電腦之後會將 225 種類型的檔案加密，包括下列文件和多媒體檔案：.doc、.docx、.jpg、.pdf、.pps、.pptm、.rar、.txt、.xls、.mov、.mp3、.config、.flv、.html、.key、.lit、.mov、.mp3、.mp4、.mpg 等等。其要求的贖金在 20 至 150 美元之間，每隔一小時就會刪除一批受害者的檔案。過了 72 小時之後，所有被加密的檔案都會被永久刪除。

Locky：迫使醫院緊急將所有電腦關機,改用紙本作業

Locky最值得注意的是它經由電子郵件附檔中的惡意巨集來入侵電腦。Locky 的惡意執行檔 (趨勢科技命名為 TROJ_LOCKY.DLDRA) 是從某個網站伺服器下載到電腦上。該程式一旦進入電腦，就會掃瞄系統上的所有磁碟，甚至包括網路磁碟，並且尋找文件、影像、音樂、影片、壓縮檔、資料庫以及其他網站應用程式相關檔案。檔案被加密之後，檔名最後會加上「.locky 」副檔名。歹徒在勒索訊息當中會指示受害者利用 Tor 網路來支付 0.5 比特幣的贖金。Locky 之所以有名是因為它造成多家醫療機構的系統停擺，例如美國好萊塢長老教會醫療中心 (Hollywood Presbyterian Medical Center) 以及肯德基州的基督教衛理公會醫院 (Methodist Hospital)。

RAA不僅會偷密碼，還會偷比特幣錢包

MIRCOP: 做賊喊抓賊的,說自己是受害者的

MIRCOP (趨勢科技命名為 RANSOM_MIRCOP.A) 出現在六月下旬，使用的恐嚇技巧相當特別。其勒索訊息當中有個戴著帽子和「蓋伊·福克斯」面具的頭像，並且表明受害者「偷走了」歹徒的某樣東西，命令受害者將它歸還。MIRCOP 有別於其他勒索軟體在被加密的檔案後面加上某個副檔名，它是在檔名之前加上「Lock.」字樣。此外，它也會將常用的資料夾加密。如果開啟一個被加密的檔案，就會看到檔案內容已變成一堆看不懂的亂碼。勒索訊息會催促受害者盡速採取行動。我們在 6 月 23 日看到 MIRCOP 要求了有史以來的單一最高贖金：48.48 比特幣 (根據 7 月 15 日 665 美元兌換 1 比特幣的匯率來算，約合 32,239 美元)，但歹徒宣稱這是他們應得的。

趨勢科技的端點防護產品，如：趨勢科技PC-cillin雲端版、趨勢科技Smart Protection Suites 及 Worry-Free Pro 都能有效防止企業和一般使用者感染勒索病毒。此外，企業的一些作法，例如：採取嚴格的密碼政策、關閉 Office 軟體自動載入巨集功能、定期更新修補系統，都是防範勒索軟體的有效方法。此外，趨勢科技Deep Security也可為實體、虛擬及雲端伺服器提供進階伺服器防護，讓企業不需緊急部署修補程式就能防範企業應用程式遭到入侵、防止資料遭到外洩、避免發生業務中斷。這套完整而集中管理的平台，能簡化資安作業、提供法規遵循能力、加速虛擬化及雲端專案的投資報酬。

原文出處： Ransom Notes: Know What Ransomware Hit You