愈多人聚焦的地方,，就愈容易成為駭客的攻擊目標。隨著《Pokémon Go》爆紅,，成為超現(xiàn)象級手游,，沒想到網(wǎng)路犯罪集團也趁虛而入。最近出現(xiàn)被命名為“Ransom_POGOTEAR.A”的勒索病毒,，是一款假冒《Pokémon Go》的 Windows 應(yīng)用程式,，利用網(wǎng)站散播病毒,。它是從2015 年 8 月釋出的教育性開放原始碼勒索病毒 Hidden Tear 修改而來。

趨勢科技指出,，這個教育性開放原始碼勒索病毒 Hidden Tear 的作者,，原本釋出此原始碼時就已標明僅供教育用途，然而,，這卻不是 Hidden Tear 第一次被拿來作惡,。2015 年 1 月，趨勢科技在某個遭到駭客入侵的巴拉圭網(wǎng)站上就發(fā)現(xiàn)勒索病毒“RANSOM_CRYPTEAR.B”,，儘管是教育用途,，也無法防範有心人士。

趨勢科技發(fā)現(xiàn),，駭客利用此勒索病毒在 Windows 系統(tǒng)上建立一個名為“Hack3r”的后門使用者帳號,，并將帳號加入系統(tǒng)管理員群組，在受害者電腦上建立網(wǎng)路共用資料夾,，讓勒索病毒可以將執(zhí)行檔複製到所有的磁碟中,，甚至是磁碟的根目錄。

因此,，受害者每次登入 Windows 時都會執(zhí)行這個《Pokémon Go》勒索病毒,，若是複製到隨身碟時，它也會建立自動執(zhí)行（autorun）檔案,，當使用者把隨身碟插入電腦時就會自動執(zhí)行勒索病毒,。

研究人員指出，這個勒索病毒目前也許仍在開發(fā)階段,。例如,，勒索訊息畫面上，所使用的語言似乎針對阿拉伯語系國家而開發(fā),，螢?zāi)槐Ｗo程式執(zhí)行檔中還含有一個檔名為“Sans Titre”（法文“未命名”之意）的圖片,，這似乎也透露出程式開發(fā)者的國籍。此外,，它採用了固定的 AES 加密金鑰：“123vivalalgerie”,。再來，他幕后操縱（C&C）伺服器使用的是私人 IP 位址,，表示它無法經(jīng)由網(wǎng)際網(wǎng)路連線,。

根據(jù)趨勢科技團隊研究指出，光是在7 月 8 日至 7 月 24 日這段期間,，Google Play 上就有 149 個《Pokémon Go》相關(guān)的應(yīng)用程式,，累積超過390萬次下載，包括指南、過關(guān)步驟,、教學,，還有假的 GPS 位置地點、社群網(wǎng)路相關(guān) (給玩家彼此交換心得的平臺),，或是桌布應(yīng)用程式和下載工具等等,。然而，其中卻有高達87％是廣告程式,，為了要讓使用者下載之后,，安裝其他應(yīng)用程式。Google Play 已經(jīng)在 7 月 21 日下架了 57 類似的應(yīng)用程式,。

前陣子挾帶木馬病毒,、假GPS或廣告誘騙的山寨《Pokémon Go》四竄，現(xiàn)在又出現(xiàn)勒索病毒,，使用者不可不慎,。

文章來源：機房監(jiān)控系統(tǒng) http://rupm.cn