為了讓受害者掏錢,加密勒索軟體 Ransomware紛紛出奇招。趨勢科技最近發現了一個棘手的加密勒索軟體 Ransomware家族叫做「JIGSAW」(電動線鋸)，讓人聯想到Saw《奪魂鋸》這部恐怖電影。此惡意程式會將使用者的檔案加密，然後隨時間逐批刪除。這樣的作法，在某種程度上可以製造使用者心理上的恐懼和壓力，最後受不了而就範。它甚至用上了《奪魂鋸》當中鬼臉木偶比利的圖片，並且搭配紅色數字倒數時鐘。JIGSAW 就像 PETYA 和 CERBER 家族一樣，只不過是近幾個月才新出現的家族。不過,就技術面而言，各勒索軟體 Ransomware家族之間並無太大差異。

根據趨勢科技的分析，JIGSAW 是經由免費雲端儲存服務「1fichier.com」所下載的檔案感染。此服務之前就曾經散布過其他惡意程式，如專門竊取資訊的 FAREIT，以及專門竊取比特幣（Bitcoin） 的 COINSTEALER。趨勢科技已通知 1ficher 有關此威脅的情況，而他們也已移除了相關的網址。此外，此惡意程式也可能從 hxxp://waldorftrust.com 下載，此處的 JIGSAW 大多暗藏在採礦軟體當中。

加密勒索軟體 Ransomware一旦在電腦上執行，使用者就會看到電影《奪魂鋸》裡的木偶比利圖片以及一段勒索訊息。

勒索訊息提到，時間拖得越久，使用者遭到刪除的檔案將越多，贖金也會跟著提高,使用者需支付的贖金大約是 20 至 150 美元起跳。近期的加密勒索軟體 Ransomware都會隨著時間而提高贖金，只不過增加的速度不像 JIGSAW 這麼快。除了贖金提高之外，隨著時間流逝，惡意程式也會逐步增加它所刪除的檔案數量。

JIGSAW 利用受害者擔心自己的檔案被永久刪除的心態，每小時會提高一次刪除檔案數量及贖金,以逼迫受害者因焦急而支付贖金。

JIGSAW是第一個會先將使用者檔案複製並加密成「.fun」檔案然後再刪除原始檔案的加密勒索軟體。不過，其某些變種所使用的副檔名略有不同，如：.KKK、.BTC 和 .GWS 都有。

此外，勒索訊息還提到，若使用者強制將電腦重新開機，就會刪除 1,000 個檔案，而且將不再保留副本。而且使用者若未在 72 小時內付款，所有被加密的檔案都將遭到刪除。

儘管 JIGSAW 看來很恐怖，但其結構基本上還是非常簡單。它並無其他加密勒索軟體 Ransomware所沒有的能力。但 JIGSAW 卻利用一些心理戰來彌補技術上的不足。其嚇人的畫面和逼迫使用者就範的技巧，比其他勒索軟體有過之而無不及。

根據趨勢科技的分析，歹徒除了利用可能有害的程式 (PUA) 和廣告程式散播此勒索軟體之外，還會利用一些色情網站為感染途徑。有一個 JIGSAW 版本使用的並非鬼臉木偶比利的圖片，而是一些色情圖片，然後告訴使用者：「YOU ARE A PORN ADDICT.STOP WATCHING SO MUCH PORN. NOW YOU HAVE TO PAY」(你整天沉迷色情網站，別再看這麼多色情影片了。現在你必須付出代價)。而勒索訊息內容則和前述相同。還有另一個 JIGSAW 版本會顯示粉紅色花朵的圖片。

JIGSAW 並非唯一訴諸恐懼的加密勒索軟體。最近還有另一個叫做「MAKTUBLOCKER」的加密勒索軟體，專門透過電子郵件挾帶的惡意檔案感染使用者電腦。其電子郵件能夠得逞的原因，是因為電子郵件當中含有使用者的真實姓名和住家地址，讓使用者不疑有他。很顯然的，加密勒索軟體現在不僅會想盡各種辦法來感染更多使用者，同時也開始發展出新的技巧來逼迫使用者支付贖金。

加密勒索軟體越來越難加以防範。這也正是為何使用者應該定期備份自己的資料，並且遵守「3-2-1 備份原則」來保障資料安全。如此可降低勒索軟體帶來的損害。請注意，支付贖金絕對無法保證歹徒會信守承諾讓您救回檔案。

資料來源：http://blog.trendmicro.com.tw/