愈多人聚焦的地方，就愈容易成為駭客的攻擊目標。隨著《Pokémon Go》爆紅，成為超現(xiàn)象級手游，沒想到網路犯罪集團也趁虛而入。最近出現(xiàn)被命名為“Ransom_POGOTEAR.A”的勒索病毒，是一款假冒《Pokémon Go》的 Windows 應用程式，利用網站散播病毒。它是從2015 年 8 月釋出的教育性開放原始碼勒索病毒 Hidden Tear 修改而來。

趨勢科技指出，這個教育性開放原始碼勒索病毒 Hidden Tear 的作者，原本釋出此原始碼時就已標明僅供教育用途，然而，這卻不是 Hidden Tear 第一次被拿來作惡。2015 年 1 月，趨勢科技在某個遭到駭客入侵的巴拉圭網站上就發(fā)現(xiàn)勒索病毒“RANSOM_CRYPTEAR.B”，儘管是教育用途，也無法防範有心人士。

趨勢科技發(fā)現(xiàn)，駭客利用此勒索病毒在 Windows 系統(tǒng)上建立一個名為“Hack3r”的后門使用者帳號，并將帳號加入系統(tǒng)管理員群組，在受害者電腦上建立網路共用資料夾，讓勒索病毒可以將執(zhí)行檔複製到所有的磁碟中，甚至是磁碟的根目錄。

因此，受害者每次登入 Windows 時都會執(zhí)行這個《Pokémon Go》勒索病毒，若是複製到隨身碟時，它也會建立自動執(zhí)行（autorun）檔案，當使用者把隨身碟插入電腦時就會自動執(zhí)行勒索病毒。

研究人員指出，這個勒索病毒目前也許仍在開發(fā)階段。例如，勒索訊息畫面上，所使用的語言似乎針對阿拉伯語系國家而開發(fā)，螢幕保護程式執(zhí)行檔中還含有一個檔名為“Sans Titre”（法文“未命名”之意）的圖片，這似乎也透露出程式開發(fā)者的國籍。此外，它採用了固定的 AES 加密金鑰：“123vivalalgerie”。再來，他幕后操縱（C&C）伺服器使用的是私人 IP 位址，表示它無法經由網際網路連線。

根據(jù)趨勢科技團隊研究指出，光是在7 月 8 日至 7 月 24 日這段期間，Google Play 上就有 149 個《Pokémon Go》相關的應用程式，累積超過390萬次下載，包括指南、過關步驟、教學，還有假的 GPS 位置地點、社群網路相關 (給玩家彼此交換心得的平臺)，或是桌布應用程式和下載工具等等。然而，其中卻有高達87％是廣告程式，為了要讓使用者下載之后，安裝其他應用程式。Google Play 已經在 7 月 21 日下架了 57 類似的應用程式。

前陣子挾帶木馬病毒、假GPS或廣告誘騙的山寨《Pokémon Go》四竄，現(xiàn)在又出現(xiàn)勒索病毒，使用者不可不慎。

文章來源：機房監(jiān)控系統(tǒng) http://www.kkschina.com