新型態的攻擊: 合併木馬的惡意勒索程式

Network World

網路上已經逐漸有駭客開始合併用於金融犯罪上的木馬程式的情況，籍此造成更多的傷害。

分析：

您可能曾經看過螢幕上彈出警告訊息，告訴您必須立即採取行動來保護個人電腦避免被破壞、
被劫持或出現更可怕的訊息，例如：「 Windows 已經被鎖定了！」或「您犯了網路犯罪！」
等訊息，而上述的行為皆是惡意勒索程式所進行的攻擊，也就是會控制被感染或被劫持的電腦，
直到能夠以某種形式勒索被鎖定的使用者進行付款為止。

以上所述基本上是一種混合型的攻擊，企圖竊取使用者的登錄資訊，進而勒索金錢。此外駭客
會進行分層攻擊，以應對更複雜的安全防禦線。分層或混合攻擊的另一個例子就是黑洞 ( Blacole ) ，基本上犯罪分子會利用工具感染電腦的瀏覽器或第三方套件，如 Java 或 Adobe Reader 。
至於第一部分攻擊的訊息，聲稱除非使用者支付一定數額的金錢，不然使用者的電腦會被鎖定。

自 2011 年 4 月以來，微軟惡意程式保護中心已經確定至少有五種形態的惡意勒索程式、其中
木馬 Win32 / Reveton 會試圖誘騙使用者進行帳戶的電子付款服務，以及木馬 Win32 / Reveton.A 則會顯示「電腦將會存取色情和暴力等資訊。」、「要進行電腦的解鎖，請在接到
通知後 48 小時內，支付 100 英鎊的罰款警告。」等警告訊息，誘騙使用者支付金額。

另一種變種惡意勒索程式，會感染電腦並取代他們的主要引導記錄（MBR），使其無法正常載入 Windows ，並且顯示要求使用者付款的訊息。微軟對於這些變種的木馬檢測為Trojan:DOS / Ransom.B、Trojan:Win32 / DotTorrent和Trojan:Win32 / Ransom.HH。

基本上駭客在這些例子中皆有相同的戰術，也就是惡意勒索程式的攻擊者會利用受害者的恐懼
進行攻擊。另外近似惡意勒索程式的恐嚇軟體，也就是流氓軟體，表面上看起來似乎是對您有益處的軟體，但是恐嚇軟體會透過視窗或廣告提供限制、不安全，錯誤或誤導的警告訊息，並企圖詐騙使用者付款，此外還會以宣傳安全更新軟體的方式，讓您主動採取行動，例如：點擊一個
連結接受建議的更新，或者刪除不需要的病毒，而當您按下之後，就會下載安裝恐嚇軟體。

Antivirusxp 和 FakeSysdef 就是最近恐嚇軟體的例子。前者透過顯示誤導的警告訊息，基本上
就是有關電腦的安全問題，籍此說服使用者購買流氓軟體。後者則是會宣稱進行掃描系統記憶體，硬碟驅動程式和硬體的效能，並提出相關問題，接著通知使用者必須需要付款下載解決
方案。

如果您認為個人電腦被病毒感染了，或著想要增加電腦的保護，該怎麼辦呢？事實上微軟惡意
程式保護中心有提供相關指引和建議，一般最佳的實務做法有：

• 啟動第三方防火牆或者打開 Windows 預設防火牆。
• 為電腦安裝所有最新的軟體更新。
• 使用最新的防毒軟體。
• 限制在電腦上的使用者權限。
• 點擊網頁連結、打開附件時以及接受文件傳輸要小心。
• 避免下載盜版軟體。
• 保護自己避免受到社交工程攻擊。
• 使用強式密碼。