別幫詐騙集團衝業績,謹防四種詐騙手法

據新北市政府發布的新聞稿指出法制局消費者保護官(消保官)近日收到多起消費者詢問網路上購買商品,付了錢卻沒收到商品,或是收到商品卻發現是仿冒品或瑕疵品,因為不知販售者的名稱及地址,不知如何處理。

以下整理出目前熱門的四種詐騙案例,請大家小心提防:

一.七折網拍江蕙演唱會門票!!是詐騙

二姐江蕙封麥演唱會,雖然加碼演出,還是一票難求,近日傳出有詐騙集團以7折的價格拍賣江蕙的門票,而且一律要求匯款,結果還是有粉絲受騙。橫跨兩岸的詐騙集團,先於網拍平台開設賣場,以低價低於市價7折出售門票,被害人因擔心買不到票,不疑有他依其指示匯款,事後才知道被騙,詐騙金額達30萬。目前至少有16名歌迷上當受騙。相關報導

LINE SCAM

警方:上拍賣買站購買演唱會門票遭騙案件,高達 7成是私下使用通訊軟體交易!

過去演唱會門票網路詐騙時有所聞,警方發現詐騙集團常會以折讓部分金額慫恿買家私下透過通訊軟體交易,收到匯款後就避不見面。警方建議民眾應選擇具有審核機制的拍賣網站購買,並與拍賣者面交或是協調貨到付款方式。

二.「衣芙日系」詐騙案暴增,追過長期第一名霸主:露天


Shopping on line Mobile

過年快到了,許多人上網添購新衣,刑事局預防科統計,1月下旬一周內,光是「衣芙日系」購物網「解除分期」詐騙案就多達134件,成長幅度達243%,擠下長期排名第一的「露天拍賣」,警方呼籲消費者謹慎勿受騙。警方統計,上月底一週內,國內網路購物詐騙被害案件,多為使用「ATM解除分期付款詐騙」手法,呼籲民眾若有接獲通知要求前往ATM進行「提款」跟「轉帳」以外的要求時,一定要特別注意。相關報導

三.“春節拿身分證至各公所即可領 3000元紅包”是惡作劇!!

繼續閱讀

最近的加密勒索軟體攻擊:一種全球性的威脅  

趨勢科技注意到 最近有大量的加密勒索軟體在澳洲擴散。這一波與我們在12月初報導過在歐洲/中東/非洲(EMEA)地區所出現的大量感染很類似。根據進一步的研究和分析,我們的結論是這些攻擊的幕後黑手很可能是同一個集團,因為所用的IP地址很相似。

勒索HACKER

感染途徑

 

趨勢科技的分析顯示,用來識別澳洲TorrentLocker惡意軟體家族的特徵碼也可以識別土耳其、 義大利和法國的病毒暴發。

我們觀察到TorrentLocker惡意軟體會對澳洲和EMEA地區國家特別設定,對這些國家展示相似的付款頁面。如果使用者不是位在被針對的國家,就會出現通用的英文網頁,並且用美元要求贖金。下面是一連串TorrentLocker惡意軟體所顯示的畫面,而且會不正確地告訴受害者它是「CryptoLocker病毒」。

 

圖1、根據地理位置出現不同的付款要求頁面。

 

在澳洲,基本價格是598澳幣,並且會有警告訊息告訴使用者在給出比特幣(Bitcoin)位址的四天後贖金會增加一倍。  繼續閱讀

什麼是勒索病毒/勒索軟體 ( Ransomware) ?(含歷年勒索病毒與贖金)

有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索病毒CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選,「勒索病毒肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索病毒)奪魁,得票數占42.11%

中了勒索病毒該怎麼辦?「建議受害人付款了事」在一個網路安全高峰會上 FBI 如是表示,此語一出即惹來了爭議。
勒索病毒藏在郵件,藏在載點,藏在廣告裡…只要你上網,就有可能是它的覬覦目標。

 

ransomware

英文有句諺語:「Everything old is new again」

這對網路威脅來說是再對也不過了。
在過去幾個月間,我們的研究人員就看見勒索病毒 Ransomware再度地捲土重來
這是件值得關心的事情,因為最新的勒索病毒非常複雜。這代表著如果感染了勒索病毒,會為你帶來很大的麻煩。

什麼是勒索病毒?

勒索病毒 Ransomware是一種特殊的惡意軟體,讓你失去對自己系統或資料的控制,而且如果不付錢給這攻擊的背後黑手也就無法拿回來。基本上,你的系統或資料成為了人質,讓你被迫去支付贖金。這也就是它被稱為「勒索病毒」的原因。

勒索病毒散播有十年了。第一個版本早在2005年就在俄羅斯出現。

從那時候起,勒索病毒傳遍了全球,發展出許多不同的版本。某些類型的勒索病毒會偽稱為當地的警察機構:贖金以「罰款」的形式出現,讓使用者不得不馬上支付。有些較複雜的警察勒索病毒會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息

2013年有一個特別麻煩的勒索病毒稱為「Cryptolocker」。它會加密重要檔案,只有當你支付贖金後才提供解密方法。Cryptolocker變種使用無法破解的加密演算法,所以使用者只能選擇乖乖付錢(隨然可能不會真的解密檔案)或失去他們的資料。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶勒索病毒甚至還從一般電腦發展到Android系統上。

從 2013 年起,我們所偵測到的傳統勒索病毒與加密勒索病毒的比例,已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家,到了2015年,勒索病毒開始出現簡中介面,臺灣爆發災情,受害者包含企業和個人用戶。

從以下三點可以看到勒索病毒事業愈做愈大了:
1.成立技術支援團隊,全天候 7 天 24 小時提供付款電話支援服務
2.提供網路聊天的方式即時協助受害者進行付款流程
3.架設網站,提供免費試用解密工具…看完整報導

 

勒索病毒現在的狀況?

勒索病毒威脅似乎在2014年稍微減緩,但很快又再度回來了,比如歐洲的Cryptolocker類型攻擊 和 Reveton勒索病毒捲土重來。同時,我們在澳洲看到一個新的Crytpolocker類型勒索病毒變種稱為「Torrentlocker」。另一個Cryptolocker類型勒索病毒被稱為Critroni或Curve-Tor-Bitcoin(CTB)Locker。

你可以參考趨勢科技和澳洲迪肯大學的研究人員合作製作的影片來了解TorrentLocker如何運作。

新一代的Cryptolocker類型勒索病毒加入一些創新功能以提高你支付贖金的可能性,好讓網路犯罪份子得到所想要的東西:你的錢。這些新版本會提供更多時間去支付這筆錢。還會讓你有機會解回一個或多個檔案以證明的確可以做到。你可以將其想成是典型地證明你資料肉票還活著的做法,代表它真的還在那裡。

即使有了這些創新做法,但它的本質仍然不變,還是一樣是勒索病毒:控制你系統或檔案的惡意軟體,除非你付攻擊者錢,否則拒絕交回。但即使你真的付錢也不能保證它們會回來。

 

關於勒索病毒,你該做什麼?

勒索病毒捲土重來這件事並不奇怪。在2013年2月,Reveton勒索病毒背後的關鍵人物被捕,這也導致了此一活躍的勒索病毒威脅大幅下降。CryptoLocker/GOZ在2014年6月被國際執法機構破獲也打亂此一威脅的全球分佈。但勒索病毒減少只是因為有人被逮捕了,並非不再有用。所以出現某人再度利用勒索病毒只是時間的問題。

勒索病毒不會很快地消失,它已經擴散到其他平台,像是Android系統。因為一旦中毒,勒索病毒就會很快地破壞你的檔案,所以你在面對此一威脅時的首要之務是不要中毒。保護自己並對抗勒索病毒的最好方法是讓系統保持在最新狀態,運行功能全面的安全軟體,小心你所打開的附加檔案。而特別是針對勒索病毒,必須確保你的系統有進行定期備份:好的備份可以讓你在感染勒索病毒 Ransomware後可以幫助你加以回復。

 

@原文出處:It’s Baaacck: Ransomware Returns with a Vengeance

作者:Christopher Budd

 


 

PCC2016_1Y3U_TW box

 

PC-cillin 雲端版已增加對勒索病毒 Ransomware加密行為的防護機制,可預防檔案被勒索病毒惡意加密!即刻免費下載試用

 

 



★你付錢了嗎?別讓檔案當肉票!勒索病毒常見問題集
★看更多勒索病毒文章…….
★看更多資安漫畫

如何防禦勒索病毒?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin對抗勒索病毒
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索病毒?

歷年勒索病毒與贖金

1989 PC Cyborg贖金 378 美元
惡意勒索程式是專門針對網路勒索而特製的一種惡意程式,其根源可以追溯至 Joseph Popp 博士的 PC Cyborg 特洛伊木馬程式;首次出現於 1989 年。這種特洛伊木馬程式是透過軟碟複製的,而那些軟碟則是在一場 AIDS 研討會中散發的。執行之後,它會修改系統的 AUTOEXEC.BAT 檔來監控電腦開機了幾次。然後在系統第 90 次開機時,它會將系統中所有檔案重新命名。接著透過充滿威脅的「使用者授權合約 (EULA),告知遭到感染的使用者,必須支付贖金 378 美元給 PC Cyborg Corporation。

 

2005 TROJ_PGPCODER.A贖金 200 美元

想打開你電腦中的檔案嗎?聽從指示匯給我200美金,收到錢後你會拿到解碼程式”這是2005年TROJ_PGPCODER.A 木馬病毒,在受害者電腦中的留言。TROJ_PGPCODER.A 勒索木馬採用目前網路釣魚和間諜程式常用的手法,在瀏覽網站時,趁機安裝潛入受害電腦。這也是第一隻被命名為「惡意勒索程式 (ransomware)」的病毒;該程式會挾持檔案予以加密以便勒索,然後留下勒索訊息,亦即一個README.TXT 檔案。

 

2006 TROJ_CRYZIP.A要解開壓縮檔案密碼?索取300 美金

一年之後,出現另一個類似的 TROJ_CRYZIP.A。TROJ_CRYZIP.A 會將檔案壓縮成有密碼保護的 .ZIP 資料夾,並強迫受感染的使用者將 300 美元存入特定的 e-gold 帳戶。

在偵測到 TROJ_CRYZIP.A 後才一天,TROJ_RANSOM.A 隨即出現。與TROJ_RANSOM.B 類似的是,它也會鎖住電腦系統,但要求比較少的贖金 10.99 美元。不同的地方在於,它每隔 30 分鐘宣稱一次,除非支付贖金,否則就刪除檔案。

 

2006 TROJ_ARCHIVEUS.A 勒索方式-到藥局消費 75 元換解密金鑰

2006 年底之前,出現了另一個惡意勒索程式 TROJ_ARCHIVEUS.A。這個特洛伊木馬程式非常不尋常,因為它會複製「我的文件」資料夾之下的所有檔案,並將它們放在一個名為 EncryptedFiles.ALS 的檔案中。然後它宣稱會刪除原始檔,之後,它會要求受感染的使用者到一個俄羅斯線上藥局購買 75 元的東西,才能獲得解密金鑰。

 

2007 年多隻勒索病毒強迫購買150-300 美金軟體

雖然 2007 年充斥著新型的網路威脅,但惡意勒索程式並沒有從威脅情況中完全消失。那一年有三個新的惡意勒索程式被發現:TSPY_KOLLAH.FTROJ_GPCODE.AB 以及 TROJ_GPCODE.AC。TSPY_KOLLAH.F 是在同年 7 月偵測到的,而且就如從之前偵測到的惡意勒索程式一樣,它會綁架檔案當人質。它也宣稱要使用 RSA-4096 演算法來加密那些檔案。它會留下 README.TXT 檔當作勒索訊息,告知使用者購買價值 300 美元的軟體,才能將他們的檔案解密。

一個月後,出現了 TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 威脅。與TSPY_KOLLAH.F 類似,TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 也都會將檔案加密,並留下勒索訊息 (README.ASAP.TXT)。然後使用者要被迫購買 150 元的軟體,才能將自己的檔案解密。

四個月後,TROJ_RANSOM.B 出現了。TROJ_RANSOM.B 有可能造成更多損害,因為它挾持當作人質的不僅是檔案,還包括電腦本身。此外,使用者也可能經由其他惡意程式而感染到 TROJ_RANSOM.B。

2013年「Cryptolocker」加密勒索病毒開始盛行

2013年出現一個特別麻煩的勒索病毒-當時被稱為史上最狠毒的勒索病毒:「Cryptolocker。它會加密重要的檔案,只有當你支付贖金後才提供解密方法。至此,加密勒索病毒開始大行其道,相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索病毒 Ransomware的崛起。從 2013 年起,我們所偵測到的傳統勒索病毒與加密勒索病毒的比例,已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家,到了2015年,勒索病毒開始出現簡中介面,臺灣爆發災情,受害者包含企業和個人用戶。

勒索訊息:是恐嚇手法還是真的威脅?

與許多威脅一樣,惡意勒索程式也使用社交工程 ( Social Engineering )陷阱手法從使用者手中敲詐金錢。藉著製造恐怖情節,也就是資料遺失或系統無法使用,然後說服使用者真的支付贖金。很自然地,有些受害者就不得不付出金錢以結束恐懼。

例如,下列文字是 TROJ_GPCODE.AB 與 TROJ_GPCODE.AC 惡意程式作者所寫的勒索訊息:
親愛的使用者:
謝謝您使用我們的服務。
最近我們檢查了您的系統,發現到許多嚴重的安全性漏洞。
這不是笑話,而且很清楚的是,我們可以將您所有的檔案、文件、封存檔及資料檔案加密。
為了您的安全,我們比下列其他人更早做到:駭客、病毒或愚蠢的破壞者。
全球有許多綁架程式正在獵取您的銀行帳號、信用卡資訊或其他有價值的東西。
現在,就算他們入侵您的電腦也偷不到東西,因為您所有的重要檔案都已經加密並保全了。在不遠的未來內,還沒有任何技術或科學方法可以破解這種加密。不幸的是,與其他工作一樣,我們的服務也要費用。只要美金 150 元。這比起您遺失所有檔案的價值要少得多了。

我們僅接受「西聯匯款 (Western Union)」,而且保證在收到您付款的一小時內,您就會收到解密程式與詳細的手冊。

如果您希望取回您的資訊,只要寄電子郵件到下列信箱:
XXXXX@XXXXXXXXXXXXXXXX
我們會在五分鐘內傳送給您進一步指示。
不用擔心,在我們接獲「西聯匯款 (Western Union Transfer)」詳細資訊一小時內,您就可以取回所有資訊。只要一小時!!!
很抱歉造成您的不便,但我們僅收取分文,比起別人收取高額費用要好得多。

在上述例子中,大家可以注意到,勒索訊息似乎是要幫助使用者一臂之力,因為據稱系統存在著「安全性漏洞」或逾期的安全軟體。但事實上,這些只是要使用者照著罪犯指示去做下列事情的社會工程手法:付錢。我們可以問一個很合邏輯的問題:惡意勒索程式真的能像他們所說的將檔案加密嗎?

根據 TrendLab 一位工程師 Alvin Jethro Bacani 表示,有些惡意勒索程式的確有能力可以將檔案加密。不只是虛張聲勢或矇騙使用者,惡意勒索程式的確可以將人質檔案加密。早期的惡意勒索程式版本具有 56 位元金鑰 RSA 演算法,後來開始發展到使用 660 位元金鑰。這會使得實際解密檔案的時間拖很長。這表示,雖然安全性廠商都有修復工具可以欣然將「被誘拐」的檔案解密並復原,但還是有惡意程式作者會不停地使用越來越複雜的方式來換取更多時間。

惡意勒索程式有可能造成龐大損害,特別是如果感染了使用者在組織內的業務重要資訊。同樣的,家用電腦使用者如果資料遺失,也會蒙受很大的損失。根據 Secure Science Corporation 統計,2007 年 1 月至 8 月,惡意勒索程式的受害使用者約有 152,000 人,而資料損失的可能性更難以估計。

解決方法

雖然勒索惡意程式使用社交工程 ( Social Engineering )陷阱來欺騙使用者,但還是有方法可以保護使用者,免於蒙受這種攻擊的損失。使用者必須隨時養成安全的電腦使用習慣,才能在一開始就不將這些程式碼引入到系統中。就這一點來說,隨時保持安全軟體、作業系統及其他應用程式的最新狀態,也是最好的方法。目前已經知道,惡意勒索程式是利用軟體中存在的弱點來遂行其犯罪企圖。

將檔案備份也是很基本的。照著勒索的要求付款,並不能保證被加密的檔案得以復原,也不能保證惡意程式作者所傳送的解密程式金鑰真的可以取回檔案。萬一不幸發生系統感染事件,千萬不要慌張:必須獲得安全廠商的協助,才能妥善處理受害情況。

 

資料來源:

 


 

PC-cillin 2016雲端版已有增加對勒索病毒 Ransomware加密行為的防護機制,可預防檔案被勒索病毒惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【病毒警訊】新型勒索軟體病毒,亞太區爆發疫情, 切勿輕易打開來源不明信件

趨勢科技曾於上周發現新型態的勒索軟體 Ransomware,近日在亞太區已出現蔓延的趨勢。 此惡意程式會偽裝於 Email附加檔案中。一旦被執行,使用者電腦上的檔案將 會被加密鎖定而無法使用。同時攻擊者會要求受感染的用戶付出贖金(或透過虛 擬貨幣),獲得解密金鑰以還原被加密的文件。趨勢科技再一次提醒各位用戶, 切勿輕易打開來源不明的信件。

勒索軟體 Ransom
新型勒贖軟體病毒警訊通知

以下為此次勒索軟體 Ransomware的相關資訊:(真實案例)

  1. 病毒攻擊皆是透過郵件(SMTP)偽造的寄件者,搭配看似正常的郵件內容, 並附上一個壓縮格式的附件檔。上周發現的案例附件檔為.zip,但是最新發 現的案例中附件已改為.cab。由此可知,此類攻擊很可能透過不同壓縮格式 的檔案來傳播。
    ransom1
  2. 開啟附件後,該壓縮檔案中放著一隻副檔名為.src的檔案,此檔案即為此波 攻擊中勒贖程式的主體。
    ransom2
  3. 一旦使用者開啟(執行)了該檔案,該勒贖軟體將自 internet中取得一組加 密金鑰,並將使用者電腦中的文件、照片或資料庫等類型的檔案進行加密 (如:pdf、docx、xlsx、jpg…等),並且出現類似下方的警告視窗,要求使用著 支付贖金。同時,使用者電腦桌面將被綁架,該頁面亦無法被關閉:
    ransom3

如果按下左下角的「View」按鈕,會列出遭到加密的檔案:
ransom4

此勒贖軟體還能夠任意恢復若干加密檔,以顯示其”真實性”:

ransom5

截至目前為止,趨勢科技產品已可偵測攔截此勒贖軟體,( OPR病毒碼 11.445.00)並偵測為: TROJ_DALEXIS.YUU

TROJ_CRYPCTB.SME

TROJ_CRYPCTB.AU
此外,由於目前本勒贖攻擊的趨勢已擴及至亞太區,趨勢科技預測此惡意程 式短期內也將有變種的可能,在此建議用戶盡快採取以下防範措施:
1. 確認防毒軟體病毒碼更新至最新

  1. 加強企業內部宣導,不要隨意開啟來源不明的郵件附加檔案 (特別是 「.scr」等可執行檔)。
  2. 對於電腦中重要的文件與檔案進行「離線備份」。
  3. 在不影響日常郵件業務的前提下,建議從 SMTP管控設備(如 IMSVA or SMEX)上,攔截「.cab」或「.src」格式的附件。此外,再搭配啟動「電子 郵件信譽評等」與「垃圾郵件過濾」服務,以降低中毒的可能性。
  4. 開啟 OfficeScan或 WFBS中惡意程式行為封鎖的功能。(方法請參考)
  5. 從閘道器端阻斷駭客所使用的 C&C Server 連結。僅列出本次攻擊行為中 駭客所使用的網址如下供用戶們參考:

Joefel.com

m-a-metare.fr

ourtrainingacademy.com

locamat-antilles.com

thomasottogalli.com

cds-chartreuse.fr

 

 

勒索軟體提供變更勒贖訊息語系的選項,中國出現激增災情

CTB-Locker勒索軟體加入免費軟體功能並且延長期限

趨勢科技在去年七月發現一個稱為Critroni或Curve-TOR-Bitcoin(CTB)Locker的加密勒索軟體 Ransomware。最近我們觀察到CTB惡意軟體的改進,現在提供了「免費解密」服務、延長檔案解密期限及提供變更勒贖訊息語系的選項。這新變種還要求支付3比特幣(約630美元),而在七月所看到的舊版本只收取0.02比特幣或24美元。

除了這些改進外,我們也看到這些攻擊在某些地區激增,主要是歐洲、中東和非洲(EMEA)、中國、拉丁美洲和印度。

感染CTB-Locker

我們之前報導過CTB Locker會使用Tor來隱藏其活動,但這新變種有著顯著的新變化。

這個CTB-Locker變種透過垃圾郵件到達。這些垃圾郵件用不同的語言寄送,常常偽裝成重要通知訊息以誘騙收信者打開附加檔案,趨勢科技注意到是壓縮兩次的檔案。

這些攻擊所使用的部分垃圾郵件樣本被判斷是由長期存在的CUTWAIL殭屍網路之部分系統所發送。CUTWAIL已知會重複使用現有的資源(包括「Botnet傀儡殭屍網路」);所以這波垃圾郵件攻擊的部分IP地址早出現在我們垃圾郵件黑名單上多年也就不令人意外了,有些地址甚至早在2004年就已經被列入黑名單。

 

圖1、帶有惡意ZIP附加檔案的垃圾郵件樣本,裡面包含惡意下載程式TROJ_CRYPCTB.SMD
其附加檔案實際上是一個惡意下載程式,被偵測為TROJ_CRYPCTB.SMD。這個惡意軟體會連到多個網址來下載CTB-Locker惡意軟體到系統上。這勒索軟體 Ransomware被偵測為TROJ_CRYPCTB.SME。檢查這些網址後,我們確定這些都是被入侵淪陷的網站,而且都在法國。這個惡意軟體用輪循(Round-Robin)的方式來選擇惡意軟體下載網址。

 

這裡有個解釋攻擊模式的圖表,感染鏈開始於帶有惡意ZIP附加檔案的垃圾郵件(如圖1所示的郵件範例)。

 

圖2、CTB-Locker感染鏈範例

 

新的發展

七月出現的舊版TROJ_CRYPCTB.A變種只給使用者72個小時,而這個新版本給使用者96個小時付款。延長期限可能是基於現實考量:較長的期限意味著可能會有更多受害者能夠支付費用。

按下「Next(下一步)」會出現「Test Decryption(測試解密)」的選項,惡意軟體在這裡透過免費服務來引誘使用者。「Test Decryption(測試解密)」功能可以隨機解密五個檔案,用以說服使用者真的可以解密。還出現說明訊息告知使用者不能重新命名或刪除檔案,只有被選中的檔案會被解密。該惡意軟體還會用其他語言(如德文、荷蘭文和義大利文)來顯示勒贖訊息。

繼續按下「Next(下一步)」會出現支付頁面,惡意軟體在這裡會指示受害者支付3比特幣(Bitcoin)或630美元以進行檔案解密;否則所有檔案都將永久保持加密狀態。該訊息還包括了如何透過Tor瀏覽器來支付贖金的說明。以下是趨勢科技在2014年七月所看到舊版本CBT-Locker及最新版本變種間的比較。

圖3、新 CBT-Locker變種要求高達630美元或3比特幣以讓使用者解密自己的檔案

 

該訊息指出受害者必須在期限內支付贖金。否則所有檔案將永久保持加密狀態。

分析變種後發現一個之前的 CTB-Locker所沒有的功能,就是有免費解密檔案的機會。這種免費模式曾經出現在惡意軟體CoinVault上,但這個 CTB-Locker變種還更加碼,讓受害人可以解密五個檔案而非只有一個。

免費解密可視為是一種說服使用者支付贖金的方式。解密檔案讓受害者覺得如果支付費用的話,自己的其他檔案也可以復原。

圖4、「免費解密」服務

繼續閱讀