作者:Loucif Kharouni (趨勢科技資安威脅高級研究員)
最近我在美國德州達拉斯 (Dallas) 舉行的 VB2012 大會上發表了一篇演講,主題是關於今日最新的威脅發展情勢:日益猖獗的警察勒索程式。稍早一點,趨勢科技也曾發表過一份有關這項威脅的白皮書:The “Police Trojan” (警察木馬程式)。
所謂的勒索軟體Ransomware,其主要概念相當簡單:歹徒讓使用者無法使用自己的電腦,使用者必須支付一筆贖金才能解開遭鎖定的電腦。這類威脅最早在 2005 至 2006 年間首次在俄羅斯被發現。
最近,我們發現此類威脅已擴散至其他國家。歹徒會利用地理資訊來顯示一個假冒當地警方的訊息,告訴使用者因為他們觸犯了某些法律而使得電腦遭到鎖定,必須支付某種罰款才能解除鎖定。
在仔細研究過這項威脅之後,我們發現這項威脅在某種程度上很類似先前出現過的假防毒軟體。不同的犯罪集團有自己的版本,其社交工程陷阱( Social Engineering)技巧也非常純熟,使用者總是願意花錢消災,因此一直有新的版本出現。除此之外,歹徒還會利用一些機制來將贖款變現。
趨勢科技至少發現了二個集團分別使用二種不同的機制。不同集團鎖定的國家不同,並且會使用當地可用的付款機制。他們所使用的木馬程式也有些差異。
其中一個集團使用的是伺服器端程序碼 (server-side script) 來根據使用者所在國家提供不同的影像和程序碼。
另一個集團則使用另一種技巧。他們將影像和程序碼內嵌在一段 base64 編碼的 PHP 程式當中。影像和程序碼永遠會一起下載,這一點有別於第一種手法。
倘若使用者所在的國家無法判別 (或者,不是歹徒鎖定的國家),就會顯示一個類似假防毒軟體的「傳統」訊息。
