跳出 Windows 升級視窗,按下 OK,檔案被加密,副檔名還顯示髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

< 近期勒索病毒回顧 >教學用開放原始碼勒索病毒,被網路犯罪集團用於不法用途

 前期勒索病毒回顧當中談到了一些新的 HiddenTear 勒索病毒變種,例如 Enjey Crypter (趨勢科技命名為 RANSOM_HiddenTearEnjey.A),該病毒是從 EDA2 勒索病毒衍生而來。與 HiddenTear 一起開發的 EDA2 原本也是教學用開放原始碼勒索病毒,但後來被網路犯罪集團用於不法用途。

本次發現的許多變種都是從 HiddenTear 勒索病毒小幅修改而來。下文介紹兩隻:

GC47 (Ransom_HiddenTearGCFS.A):顯示假的 Windows 升級視窗,被加密檔案副檔名還改為髒話

之前本落格有提醒大家 Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 ! GC47 (Ransom_HiddenTearGCFS.A)有異曲同工之妙,它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。一旦使用者點選了「ok」按鈕,就會開始執行加密程序。被加密的檔案包括文件、多媒體檔、影像檔等等,並且檔名末端會多了「.Fxck_You」副檔名。歹徒在勒索訊息當中要求支付 50 美元的檔案解鎖費用 (約 0.04 比特幣)。

AngleWare (Ransom_HiddenTearAngleWare.A):贖金獅子大開口3 比特幣 (約 3000 美元)

一個衍生自 HiddenTear 的勒索病毒,其勒索的贖金高得嚇人:3 比特幣 (約 3000 美元)。被加密的檔案名稱末端會多了「.AngleWare」副檔名。

AngleWare 程式碼 (圖片來源:Bleeping Computer)。

 

開放原始碼勒索病毒的危險性

HiddenTear 和 EDA2 原本都是以教學為目的所撰寫的開放原始碼勒索病毒。然而網路犯罪集團卻利用其原始程式碼衍生出惡意的版本。有鑑於歹徒決不會錯過這樣的機會,因此撰寫及流通開放原始碼勒索病毒,絕對是一項危險的舉動。研究人員務必嚴格限制其分享原始程式碼的對象,即使是教育用途亦然。例如只透過安全的管道提供給特定對象,降低開放原始碼勒索病毒遭到流傳的風險。

原文出處:Ransomware Recap: Old Ransomware, New Features

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Windows10Banner-540x90v5