一般的勒索軟件是透過電郵來傅播,但近期有一款新的勒索軟件「surprise」懷疑利用遠端支援軟件 TeamViewer ,無聲無色地入侵電腦以及加密檔案,名乎其實地為受害人帶來「驚喜」。不過 TeamViewer 已否認軟件會導致勒索軟件入侵。
有關 Surprise 勒索軟件的消息最初是來自網上電腦論壇 Bleeping Computer,不少受害人都在那裡求救。他們首先發現檔案無法存取,同時在桌面有三個新檔案。那些檔案是勒索通知,提醒受害人檔案已被加密,如要回復檔案就要透過兩個電郵 nowayout@protonmail.com 和 nowayout@sigaint.org 連絡攻擊者。攻擊者要求受害人繳付 0.5 個 Bitcoin,但據指勒索金勒會視乎檔案內容,提升到 25 個 Bitcoin。
技術上 Surprise 與其他勒索軟件的分別不大。Surprise 針對 474 個檔案副檔名,以 AES 256 加密檔案,再用 RSA 2048 把每個檔案的加密金鑰加密,受影響的檔案會加上 .surprise 副檔名。Bleeping Computer 的管理員發現 Surprise 是利用 EDA2 開源勒索軟件制作。EDA2 是用作教學用途,因此程式設有後門,但上載至 GitHub 後有不少人濫用。不過 Surprise 的 C&C 伺服器已離線,意味著即使受害人肯付款也不能還原檔案。
或者最令人驚訝的是眾多受害人的電腦都有安裝 TeamViewer ,這是一款能夠連接對方電腦提供遠端協助的軟件。受害人檢示 TeamViewer 的日誌時發現,有人從中下載並執行 surprise.exe ,把檔案加密。
不過 TeamViewer 已發聲明否認,指沒有證據證明黑客利用 TeamViewer 的漏洞散佈勒索軟件,又表示正調查是否因為用戶不安全使用,在多款軟件使用相同密碼所致。
Source : Softpedia
