圖片來源: 

安全研究人員發現,TeslaCrypt惡意程式會綁架40多款知名PC或線上遊戲並向用戶索取贖金。

這隻惡意程式是由Emsisoft研究人員Fabin Wosar所發現。TeslaCrypt專門鎖定185個檔案擴充程式,雖然數量不如其他勒索軟體,但它最特別的是以遊戲軟體為主,受影響對象遍及知名PC、線上遊戲,或其他相關軟體,像是《決勝時刻》(Call of Duty)、《星海爭霸》(StarCraft)、《暗黑破壞神》(Diablo)、線上遊戲《魔獸世界》(World of Warcraft)、Steam、或是多家遊戲公司如美商藝電(EA)的檔案、或遊戲開發軟體如RPG Maker等。

它的傳播管道主要是透過一個受感染的WordPress網站,安全研究人員Vadim Kotov指出,攻擊者是透過受感染的網站將流量導引到一個由Angler攻擊套件代管的惡意Flash影片網頁。由於該網站使用WordPress,因此攻擊者可能是利用WordPress漏洞感染了那個網站。主要攻擊的是微軟IE及Opera瀏覽器用戶。

TeslaCrypt的dropper會先掃瞄受害電腦的VM及防毒軟體,之後發動Flash攻擊,並安裝名為CryptoLocker的惡意程式。

雖然惡意程式自稱為新CryptoLocker,但研究人員指出,兩者相似度極低。CryptoLocker和新一代的CryptoWall是近年出現的知名勒索軟體,藉由加密受害者的文件、資料庫、影音或圖片檔案,要脅使用者付錢解密。

攻擊過程中,TeslaCrypt會對遊戲寶物或點數等檔案進行AES加密,並建立「HELP_TO_DECRYPT_YOUR_FILES.txt」的.TXT檔,受害者的桌面並出現「你的個人檔案已被加密」的勒索訊息,並寫道:這台PC上的相片、文件、影片等等。檔案由是以專為本電腦產生的RSA-2048獨特公共金鑰加密,要解密必需取得私鑰。駭客只給3天時間付款取得解密金鑰。 安全公司Webroot指出,由於它並非CryptoLocker,因此無法使用像decryptolocker.com等工具來解密。

研究人員發現這隻惡意軟體接受比特幣支付。如果使用者想以Paypal支付,「贖金」就會大幅加高,例如從415美元變成1000美元。支付過程則是透過位於TOR網域的網站來處理。

目前其加密機制尚在了解當中。雖然頗為凶狠,但安全研究人員指出,TeslaCrypt仍是經由一般威脅感染途徑來入侵電腦,因此可藉由強化安全防護及具備良好的安全使用習慣來避免。(編譯/林妍溱)


熱門新聞

Advertisement