the_dark_days_pikachu

隨著《Pokémon GO》熱潮席捲全球,網路犯罪集團也盯上這個機會,光是今年七月就出現多個冒牌的《Pokémon Go》應用程式,專門誘騙不知情的使用者下載。最近,還有一個假冒《Pokémon GO》之名的勒索病毒現身。被命名為「Ransom_POGOTEAR.A」的勒索病毒,透過網站進行散播。經過分析,發現這個病毒是從 2015 年 8 月釋出的教育性開放原始碼勒索病毒「Hidden Tear」修改而來。

駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組,其在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有的磁碟中。

MyMedia67120160818112958

若是複製到電腦內建的磁碟,會複製到磁碟的根目錄,當受害者每次登入 Windows 時都會執行這個勒索病毒;若是複製到可卸除式磁碟時,它還會順便建立一個自動執行(autorun)檔案,讓用者將此隨身碟插入電腦時就會自動執行病毒。

有許多跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片(法文「未命名」之意),似乎透露出程式開發者的國籍。

MyMedia86220160818113501

趨勢科技指出,目前此勒索病毒主要針對阿拉伯語系的使用者進行攻擊,遭到攻擊的裝置除了檔案被加密之外還會跳出一支皮比超(皮卡丘)的畫面鎖住電腦螢幕。要防範感染勒索病毒,使用者應定期備份檔案並且透過可防範勒索病毒的雲端版資安軟體來保護裝置中的資料安全。

_______

更多平台立即 Follow:Qooah IG (@qooah)Qooah YouTube,八掛產品發佈會現場,睇盡靚靚 Show Girls