趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰,並且維持這樣的水平,但是隨著時間的變遷,攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動,驗證了這樣的預測,藉由更多開創性的手法提高了賭金。實際的案例如下:我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH),他同時具備了殭屍網路(botnet)與勒索病毒的能力,許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦,受感染的電腦會成為垃圾郵件殭屍網路的一員,並發送勒索病毒給更多受害者。由目前的資訊看來,Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。
感染鍊
Viro 殭屍網路病毒於2017年9月17日首次曝光,就在我們分析了一個模仿Locky勒索病毒的變種勒索病毒7天後。當 Viro 殭屍網路病毒下載到電腦上並且執行之後,它會檢查機碼值是否存在(電腦GUID以及產品金鑰),依此判斷這個系統是否應被加密。
圖1. Viro 殭屍網路病毒查詢機碼以檢查特定的機碼值是否存在。