在勒索病毒(Ransomware)把網友當搖錢樹的今日,幾乎每個犯罪分子都想盡辦法來分一杯羹,但有三隻勒索病毒特別與眾不同,它要的不是贖金。
最近全球各地網路犯罪集團持續利用以教學名義流傳到網路上的 Hidden Tear 開放原始碼勒索病毒來衍生新的變種。本週仍維持先前的發展趨勢,勒索病毒不僅從開放原始碼衍生出新的版本,更不斷朝多樣化與區域性變種發展。此外,有些勒索病毒也一改以往作風,它們居然要的不是錢….
RensenWare 勒索病毒 :玩指定遊戲,得分超過2億才能救回檔案
RensenWare 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARRENSEN.A)。這個從 Hidden Tear 衍生的變種會要求受害者去玩《東方星蓮船》(TH12: Undefined Fantastic Object) 這款遊戲,並且必須得分超過2億,才能救回檔案。我們不清楚歹徒背後的動機為何,但駭客似乎對這款遊戲情有獨鍾。
Kindest 勒索病毒:什麼都不要,只要受駭人看指定影片
Kindest 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARKINDEST.A),它也是Hidden Tear 的變種。系統一旦感染 Kindest 勒索病毒,受害者就必須前往某個連結來學習更多有關勒索病毒的知識,而不是支付一筆贖金。儘管這聽來有點詭異,但這也並非第一次出現以實際行動來教育使用者的勒索病毒。
Koovla 勒索病毒: 讀完兩篇資安文章,就可以免費拿到解密金鑰
Koovla (趨勢科技命名為 RANSOM_EDA2RUNSOME.B)自稱是 Jigsaw《奪魂鋸》 勒索病毒的雙胞胎,但其行為卻迥然不同。Koovla 在將檔案加密之後,會要求受害者只要讀完兩篇資安文章就可以免費拿到解密金鑰,其中一篇是關於如何安全地上網瀏覽,另一篇是關於 Jigsaw 勒索病毒。我們不明白勒索病毒作者背後的動機為何,但若是希望藉此喚醒大眾的資安意識,那麼它應該屬於像 EduCrypt 和 Shinolocker 這類所謂的「教育性」勒索病毒。
作者在勒索訊息當中表示,若受害者太懶而未閱讀這兩篇文章的話,那麼時間一到,檔案就會被刪除。不過,該病毒似乎還未製作完成,因為我們拿到的樣本在使用者點選其訊息視窗之後就會自行終止執行。
以下是該病毒的勒索訊息全文:
Hello, I’m nice Jigsaw or more commonly known as Jigsaws twin.
嗨,我是善良版的 Jigsaw,是 Jigsaw 病毒的雙胞胎。Unfortunately all of your personal files (pictures, documents, etc…) have beenencrypted by me, an evil computer virus know as ‘Ransomeware’.
很不幸地,你的所有檔案 (圖片、文件等等) 都已經被我加密,我就是人們口中那邪惡的「勒索病毒」。
Now now, not to worry I’m going to let you restore them but only if you agree to stop downloading\unsafe applications off the internet.
現在,請別擔心,我會給你救回檔案的機會,但你可別再從網路上下載一些不安全的應用程式。
If you continue to do so may end up with a virus way worse than me!
因為如果你繼續這麼做的話,總有一天會下載到比我更危險的病毒!You might even end up meetingmy infamous brother Jigsaw 🙁
甚至可能會遇到我那惡名昭彰的兄弟:Jigsaw。
While you’re at it, you can also read the small article below by Google’s security team on how to stay safe online.
除此之外,您還可以看看以下 Google 資安團隊所寫的小文章來了解如何確保上網的安全。Oh yeah I almost forgot!
歐,對了,我差點忘了!In order for me to decrypt your files you must read the two articles below, once you have click the \”Get My Decryption Key\” button.
您若想解開被加密的檔案,您必須閱讀下列兩篇文章,當您讀完之後請按一下「Get My Decryption Key」(取得我的解密金鑰) 按鈕。
Then enter in your decryption key and click the \”Decrypt My Files\” button.
接著,輸入您的解密金鑰並按一下「Decrypt My Files」(解開我的檔案) 按鈕。Eventually all of your files will be decrypted 🙂
最後,您的檔案就會被救回來。
If the timer reaches zero then all of your personal files will be deleted because you were too lazy to read two articles.”
若您太懶而未在倒數計時結束之前讀完那兩篇文章的話,那您所有的檔案都將被刪除。
⊙同場加映:
Hidden Tear 小檔案:開放原始碼,導至新變種源源不絕
Hidden Tear 開放原始碼勒索病毒自 2016 年 7 月起便已成為資安界的頭痛問題,因為網路上不斷出現從其程式碼衍生的變種。Hidden Tear 變種的活動數量在 2016 年 10 月達到顛峰,但隨後快速下滑,直到 2017 年才又熱絡起來,今年三月份的數量較一月份成長了 142%。
開放原始碼勒索病毒最大的問題在於,就連駭客新手也能利用這些原始碼開發出比原本更具危險性的病毒,同時還能發動精密攻擊。Hidden Tear 變種的大量繁衍正好印證了我們一直強調的一點:釋出這類原始碼的危險性太高。
D3evilH0rn 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARANONFIVE) 是目前最新發現的 Hidden Tear 變種之一。D3evilH0rn 要求的贖金為 .5 比特幣 (合約 600 美元),遭它加密的檔案名稱末端會多一個「.anonfive」副檔名。該病毒目前仍在開發當中。
還有一個 Hidden Tear 變種叫 Dikkat (趨勢科技命名為 RANSOM_HIDDENTEARDIKKAT.A),其攻擊目標為土耳其使用者,同樣仍在開發當中。此外還有 Gembok 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARGEMBOK.A),該病毒的目標是印尼使用者。Gembok 會加密的檔案只有九種,並且會要求受害者寫信至某個 Gmail 電子郵件地址來和歹徒聯絡。
勒索病毒 XYZware (趨勢科技命名為 RANSOM_HIDDENTEARXYZ) 很可能同樣也是印尼駭客所開發的變種。其原始程式碼是抄襲另一個從 Hidden Tear 衍生的勒索病毒,叫做 Mafiaware (趨勢科技命名為 RANSOM_CRYPTEAR.SM),這也是由印尼的駭客所開發。XYZware 要求的贖金僅有 .1 比特幣 (約 120 美元),受害者必須將匯款證明寄到某個 Gmail 信箱。
原文出處:Ransomware Recap: Dec. 19 – Dec. 31, 2016
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
