原本以教學為目的所撰寫的開放原始碼勒索病毒HiddenTear,遭網路犯罪集團利用其原始程式碼不斷衍生出惡意的版本。近日Hidden Tear 又出了一個新的變種叫做「WinSec」 (趨勢科技命名為 RANSOM_HiddenTearDESBLOQ.A 及 RANSOM_HIddenTearDESBLOQ.B),這是一個來自巴西駭客的勒索病毒,採用 .NET 撰寫並利用電子商務平台來散布,例如專門銷售數位商品的網站。
其第一個版本 RANSOM_HiddenTearDESBLOQ.A 會在系統上植入「Desbloquear.exe」執行檔,並顯示以下畫面:
此勒索訊息內容大致翻譯如下:
解開被加密的「.locked」檔案。
若您已經取得密碼,請在下方輸入密碼,然後按一下「Unlock Files」(解開檔案)。
若您沒有密碼,請按「Obter Senha」(取得密碼) 按鈕。
當使用者按下「Obter Senha」(取得密碼) 按鈕,就會另外開啟一個瀏覽器視窗並連上「Sellfy」網站,這是一個專門銷售數位商品的網路平台。歹徒勒索的金額只有 10 美元,因此還算容易負擔,而且可以透過 PayPal 支付。接著,病毒會隨機產生一個加密金鑰。
