nRansom 威脅到什麼?就是你對湯瑪士小火車的回憶

CorporatemalwareRansomwaresecurity threats

 

作者 Bill Brenner

感謝 SophosLabs 的Dorka Palotay的研究,本文基於其撰寫。

從表面上看,nRansom 聽起來就不對 ─ 它會鎖定您的電腦,而且不僅要求比特幣贖金,還會索取你的裸照才會歸還您對電腦的控制權。但最終,最大的威脅是您對 湯瑪士小火車 (Thomas the Tank Engine) 和它在索多島上的朋友的珍貴回憶。

這個勒索軟體或許會讓您分心並且通篇髒話,但並非真正犯罪份子的手法。

它是怎麼運作的

nRansom 不像 LockyWannaCry 等勒索軟體,它不會加密您的檔案。它是一個螢幕鎖定器,會妨礙您操作電腦,除非您滿足它的要求。

如果您的 Windows 電腦不幸真的遇到了 nRansom (Sophos 將其偵測為 Troj/LockScr-U,但目前沒有證據顯示它在外部散播),那麼畫面將被填滿奇怪的訊息和可愛小火車的多個縮圖。每個圖框裡都有一句髒話:

背景並會重複播放 Curb Your Enthusiasm (美國喜劇電視劇主題曲)。

畫面訊息如下:

nRansom
Your computer has been locked. (您的螢幕已經被鎖定)You can only unlock it with the special unlock code. go to protonmail.com and create an account. (您只能使用特殊解鎖代碼解鎖。造訪 protonmail.com 並建立一個帳戶。)Send an entail to [redacted]. (發送詳細資訊到 [某信箱])We will not respond immediatly. (我們不會立即回應。)After we reply, you must send at least 10 nude pictures of you. (在我們回覆後,你必須至少寄 10 張你的裸照給我們。)After that we will have to verify that the nudes belong to you. (之後,我們將會確認裸照是否真的是你的。)Once you are verified, we will give you your unlock code and sell your nudes on the deep web (確認完成後,我們會提供解鎖代碼,並在深層網路上販賣你的裸照)

Got your unlock code and sent your nudes? (想取得你的解鎖代碼並發送你的裸照?)
Submit your unlock code here (在此提交你的解鎖代碼)

一旦裸照通過攻擊者的「驗證」,據稱您會收到一個代碼來解鎖被劫持的螢幕。那麼,攻擊者會寄來什麼代碼?答案是…

12345

如何在不支付贖金的情況下離開

您只需要按照最爛密碼大全的名單來操作,在輸入到第六個密碼之前就會成功猜到代碼。不要被那個大大的 ‘Unlock’ 按鈕欺騙了。它不會做任何事情,在角落也沒有 [x] 按鈕。

您起碼可以將視窗移開、調整大小,但實際上也不用那麼費力。只需按下 CTRL+ALT+DEL 打開工作管理員,選擇 nRansom 並按一下「結束工作」即可。

早說過這不是主流犯罪份子的傑作吧。

SophosLabs 研究員 Dorka Palotay 認為 nRansom 非常粗疏,容易解決,或許是一個「測試或惡作劇」。

喚醒記憶

除了小火車之外,nRansom 也抓住了我們的眼睛,因為它是一個完整的勒索軟體,把我們帶回2012 年 Reveton 螢幕鎖定器橫行的日子,這個系列的惡意軟體會鎖定您的電腦並出現警方警告的畫面。當然,如果您向網路犯罪份子支付「贖金」(以金錢而不是裸照),您可以避開往後追訴的麻煩。

如果只是為了湯瑪士小火車,我們懷疑有關單位會真正深入追查 nRansom 並將犯罪者繩之以法,儘管看到追捕 Reveton 勒索軟體犯罪份子真是一件痛快的事情。

防禦措施

如果您擔心真正的勒索軟體威脅,我們建議您為您的朋友和家人安裝免費的 Windows 和 Mac 版Sophos Home 軟體,並查看我們如何保護勒索軟體的文章。

否則,最好的防守就是回去看個幾集湯瑪士和朋友的影片,找回那些童年的回憶。

 

英文原文: https://nakedsecurity.sophos.com/2017/09/26/whats-at-risk-from-nransom-your-memories-of-thomas-the-tank-engine/ 

(本博文為翻譯本,內容以英文原文為準)

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s