下載山寨《Pokémon Go》,小心碰上勒索病毒

2016.08.18 by
郭芝榕
下載山寨《Pokémon Go》,小心碰上勒索病毒
愈多人聚焦的地方,就愈容易成為駭客的攻擊目標。隨著《Pokémon Go》爆紅,成為超現象級手遊,沒想到網路犯罪集團也趁虛而入。最近出現被命...

愈多人聚焦的地方,就愈容易成為駭客的攻擊目標。隨著《Pokémon Go》爆紅,成為超現象級手遊,沒想到網路犯罪集團也趁虛而入。最近出現被命名為「Ransom_POGOTEAR.A」的勒索病毒,是一款假冒《Pokémon Go》的 Windows 應用程式,利用網站散播病毒。它是從2015 年 8 月釋出的教育性開放原始碼勒索病毒 Hidden Tear 修改而來。

趨勢科技指出,這個教育性開放原始碼勒索病毒 Hidden Tear 的作者,原本釋出此原始碼時就已標明僅供教育用途,然而,這卻不是 Hidden Tear 第一次被拿來作惡。2015 年 1 月,趨勢科技在某個遭到駭客入侵的巴拉圭網站上就發現勒索病毒「RANSOM_CRYPTEAR.B」,儘管是教育用途,也無法防範有心人士。

圖說明
(圖說:《Pokémon Go》勒索病毒的畫面。圖片來源:趨勢科技提供。)

趨勢科技發現,駭客利用此勒索病毒在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並將帳號加入系統管理員群組,在受害者電腦上建立網路共用資料夾,讓勒索病毒可以將執行檔複製到所有的磁碟中,甚至是磁碟的根目錄。

因此,受害者每次登入 Windows 時都會執行這個《Pokémon Go》勒索病毒,若是複製到隨身碟時,它也會建立自動執行(autorun)檔案,當使用者把隨身碟插入電腦時就會自動執行勒索病毒。

研究人員指出,這個勒索病毒目前也許仍在開發階段。例如,勒索訊息畫面上,所使用的語言似乎針對阿拉伯語系國家而開發,螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」(法文「未命名」之意)的圖片,這似乎也透露出程式開發者的國籍。此外,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。再來,他幕後操縱(C&C)伺服器使用的是私人 IP 位址,表示它無法經由網際網路連線。

根據趨勢科技團隊研究指出,光是在7 月 8 日至 7 月 24 日這段期間,Google Play 上就有 149 個《Pokémon Go》相關的應用程式,累積超過390萬次下載,包括指南、過關步驟、教學,還有假的 GPS 位置地點、社群網路相關 (給玩家彼此交換心得的平台),或是桌布應用程式和下載工具等等。然而,其中卻有高達87%是廣告程式,為了要讓使用者下載之後,安裝其他應用程式。Google Play 已經在 7 月 21 日下架了 57 類似的應用程式。

圖說明  
(圖說:《Pokémon Go》相關的應用程式有高達87%是廣告詐騙,為了騙人下載其他程式。圖片來源:趨勢科技提供。)

前陣子挾帶木馬病毒、假GPS或廣告誘騙的山寨《Pokémon Go》四竄,現在又出現勒索病毒,使用者不可不慎。

延伸閱讀:
想玩Pokémon Go要小心,你可能成為下個網路攻擊目標
勒贖軟體詐騙盛行,專家:不建議付贖金、做好更新與備份才是王道

每日精選科技圈重要消息