不少勒索軟件即使把檔案加密,只要受害人有付款便會把檔案還原。不過資訊安全公司 Cisco Talos 日前發現,有勒索軟件在安裝後會馬上把受害人的檔案刪除,但仍惺惺作態要求受害人付款「贖回檔案」。
Cisco Talos 把該款勒索軟件命名為 Ranscam。與其他勒索軟件一樣,Ranscam 感染電腦後會顯示勒索通知,指受害人電腦的檔案被加密,要繳付 BitCoin 贖金才可還原。
訛稱檔案被加密要求贖金 事實上檔案早被刪除
不過受害人執行 Ranscam 後檔案其實沒有加密,反而會被直接刪除,無法復原。此外,Ranscam 還會刪除系統還原的相關程式、Shadow copies、與安全模式有關的登錄檔,以及使電腦無法啟動工作管理員。之後 Ranscam 會強制電腦關機。程式亦會自動排程執行,因此電腦重新啟動後,於指定的時間就會再次執行上述工作,並把電腦關閉。
Cisco Talos 指 Ranscam 只是業餘出品,沒有計劃周詳的散播方法,不及 CryptoWall 。如上圖所示,勒索通知只是由一張暫時儲存在桌面的 JPEG 圖片,以及兩個 Internet Explorer 框架組成。在左下方點擊黃色的付款按鈕後,會顯示「付款無效,一個檔案將被刪除」的訊息,但其實只是利用 GET 方法把圖片換掉,沒有處理任何事情。
Cisco Talos 認為這反映幕後黑手只是想訛稱檔案加密來放煙幕「找快錢」。Ranscam 現時未有廣泛傳播,亦沒有大型的電郵散播活動,不過 Cisco Talos 指出,Ranscam 正好反映受害人不應付款了事,因為幕後黑手根本信不過,良好的備分策略更為重要。
Source : Cisco Talos
