冒牌《PokémonGO》病毒现身，小心被海盗比卡超勒索！

2024-05-21 221

随着《Pokémon GO》热潮席卷全球，网络犯罪集团也盯上这个机会，光是今年七月就出现多个冒牌的《Pokémon Go》应用程序，专门诱骗不知情的使用者下载。最近，还有一个假冒《Pokémon GO》之名的勒索病毒现身。被命名为“Ransom_POGOTEAR.A”的勒索病毒，透过网站进行散播。经过分析，发现这个病毒是从 2015 年 8 月释出的教育性开放源代码勒索病毒“Hidden Tear”修改而来。

骇客利用它在 Windows 系统上建立一个名为“Hack3r”的后门使用者账号，并且将此账号加入系统管理员 (Administrator) 群组，其在受害者的电脑上建立一个网络共用资料夹，让勒索病毒可以将其执行档复制到所有的磁盘中。

若是复制到电脑内建的磁盘，会复制到磁盘的根目录，当受害者每次登入 Windows 时都会执行这个勒索病毒；若是复制到可卸除式磁盘时，它还会顺便建立一个自动执行(autorun)档案，让用者将此随身碟插入电脑时就会自动执行病毒。

有许多迹象显示这个勒索病毒目前仍在开发阶段。首先，它采用了固定的 AES 加密金钥：“123vivalalgerie”。其次，其幕后操纵（C&C）服务器使用的是私人 IP 位址，这表示它无法经由互联网连线。其屏幕保护程式执行档中还含有一个档名为“Sans Titre”的图片（法文“未命名”之意），似乎透露出程式开发者的国籍。

趋势科技指出，目前此勒索病毒主要针对阿拉伯语系的使用者进行攻击，遭到攻击的装置除了档案被加密之外还会跳出一支皮比超(皮卡丘)的画面锁住电脑屏幕。要防范感染勒索病毒，使用者应定期备份档案并且透过可防范勒索病毒的云端版资安软件来保护装置中的资料安全。

2018-04-26 13:36:00