黑客視勒索軟件(Ransomware)為最有效的賺錢方法,即是世界各地的執法報門已經高度關注,但是基本上每天仍然有新版本或變種勒索軟件出現。事實上,網絡上已經有數之不盡的勒索軟件,而製作的黑客也開始重複「舊作」或抄襲別人的「作品」,近期發現的Polyglot(又名MarsJoke),就被發現是抄襲惡名遠播的勒索軟件CTB-Locker。
外觀相似度極高
其實只要把Polyglot和CTB-Locker放在一起比較,不難發現兩者極多相似的地方,除了桌面牆紙之外,連同會讓受害者免費解密5個檔案,以顯示自己有能力進行密。而黑客對受害者的提示,看起來也十足CTB-Locker的樣子,甚至沒有網絡連線而彈出的提示訊息,相似度也十足。
至於加密的運算方法,Polyglot一向預料與CTB-Locker的加密方法完全相同,屬於偏向強力的運算方法。Polyglot透過濫發電郵誘使用戶點擊惡意連續下載看似重要的檔案,當然並沒有任何重要文件,只有一個惡意程式檔案,只要一經安裝,Polyglot便會連接C&C伺服器傳送受感染裝置的資料並進行加密勒索。
刻意誤導逃避追蹤
雖然從上文看起來,Polyglot的確十分像CTB-Locker,但是其實兩者是完全不同的惡意程式!兩者並沒有共用的編碼,估計製作的黑客有意誘導研究人員進行錯誤的追蹤。但是,如果對惡意程式進行內部比較,就能找到兩者之間的差異。
眾所周知,CTB-Locker只有支付贖款才能為檔案解密,但是Polyglot就無法達成這項嚴格的條件,因為研究人員發現製作的黑客在鑰匙產生器上發生錯誤,令卡巴斯基實驗室的研究人員可以製作免費工具,讓受害者免費解密所有受影響檔案。用戶只需要到 noransom.kaspersky.com 下載 RannohDecryptor 工具(1.9.3.0或更新版本),就可以自行回復檔案。
解密非必然,預防勝於治療
一如以往,Polyglot(或MarsJoke)能夠免費解密,是出於製作人的疏忽,但是黑客會持續改良和更新病毒,所以不顧預防而只求解藥的方法,無疑是進行豪賭,例如:CryptXXX雖然成功破解3次,但是最後的版本就無法破解,因此,不排除Polyglot的製作黑客也會繼續改良的可能性。
正確保護自己珍貴資料的方法,是安裝可靠的保安軟件,Kaspersky Internet Security 憑著獨有的System Watcher技術,有效對抗已知和新的勒索軟件,以預防勝於治療的概念保護用戶的裝置,另外,定期備份檔案,以及避免打開可疑的電郵附件及連續,都有助預防勒索軟件的威脅。
