為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。趨勢科技最近發現了一個棘手的加密勒索軟體 Ransomware家族叫做「JIGSAW」(電動線鋸),讓人聯想到Saw《奪魂鋸》這部恐怖電影。此惡意程式會將使用者的檔案加密,然後隨時間逐批刪除。這樣的作法,在某種程度上可以製造使用者心理上的恐懼和壓力,最後受不了而就範。它甚至用上了《奪魂鋸》當中鬼臉木偶比利的圖片,並且搭配紅色數字倒數時鐘。JIGSAW 就像 PETYA 和 CERBER 家族一樣,只不過是近幾個月才新出現的家族。不過,就技術面而言,各勒索軟體 Ransomware家族之間並無太大差異。
根據趨勢科技的分析,JIGSAW 是經由免費雲端儲存服務「1fichier.com」所下載的檔案感染。此服務之前就曾經散布過其他惡意程式,如專門竊取資訊的 FAREIT,以及專門竊取比特幣(Bitcoin) 的 COINSTEALER。趨勢科技已通知 1ficher 有關此威脅的情況,而他們也已移除了相關的網址。此外,此惡意程式也可能從 hxxp://waldorftrust.com 下載,此處的 JIGSAW 大多暗藏在採礦軟體當中。
加密勒索軟體 Ransomware一旦在電腦上執行,使用者就會看到電影《奪魂鋸》裡的木偶比利圖片以及一段勒索訊息。
勒索訊息提到,時間拖得越久,使用者遭到刪除的檔案將越多,贖金也會跟著提高,使用者需支付的贖金大約是 20 至 150 美元起跳。近期的加密勒索軟體 Ransomware都會隨著時間而提高贖金,只不過增加的速度不像 JIGSAW 這麼快。除了贖金提高之外,隨著時間流逝,惡意程式也會逐步增加它所刪除的檔案數量。
JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態,每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。
JIGSAW是第一個會先將使用者檔案複製並加密成「.fun」檔案然後再刪除原始檔案的加密勒索軟體。不過,其某些變種所使用的副檔名略有不同,如:.KKK、.BTC 和 .GWS 都有。
此外,勒索訊息還提到,若使用者強制將電腦重新開機,就會刪除 1,000 個檔案,而且將不再保留副本。而且使用者若未在 72 小時內付款,所有被加密的檔案都將遭到刪除。
儘管 JIGSAW 看來很恐怖,但其結構基本上還是非常簡單。它並無其他加密勒索軟體 Ransomware所沒有的能力。但 JIGSAW 卻利用一些心理戰來彌補技術上的不足。其嚇人的畫面和逼迫使用者就範的技巧,比其他勒索軟體有過之而無不及。
根據趨勢科技的分析,歹徒除了利用可能有害的程式 (PUA) 和廣告程式散播此勒索軟體之外,還會利用一些色情網站為感染途徑。有一個 JIGSAW 版本使用的並非鬼臉木偶比利的圖片,而是一些色情圖片,然後告訴使用者:「YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站,別再看這麼多色情影片了。現在你必須付出代價)。而勒索訊息內容則和前述相同。還有另一個 JIGSAW 版本會顯示粉紅色花朵的圖片。
JIGSAW 並非唯一訴諸恐懼的加密勒索軟體。最近還有另一個叫做「MAKTUBLOCKER」的加密勒索軟體,專門透過電子郵件挾帶的惡意檔案感染使用者電腦。其電子郵件能夠得逞的原因,是因為電子郵件當中含有使用者的真實姓名和住家地址,讓使用者不疑有他。很顯然的,加密勒索軟體現在不僅會想盡各種辦法來感染更多使用者,同時也開始發展出新的技巧來逼迫使用者支付贖金。
加密勒索軟體越來越難加以防範。這也正是為何使用者應該定期備份自己的資料,並且遵守「3-2-1 備份原則」來保障資料安全。如此可降低勒索軟體帶來的損害。請注意,支付贖金絕對無法保證歹徒會信守承諾讓您救回檔案。
資料來源:http://blog.trendmicro.com.tw/