作者 Paul Ducklin
感謝 SophosLabs 的 Simon Porter 協助本文的幕後作業。
並非所有的勒索軟體都一樣。
先聲明,我們並非暗示任何形式的勒索軟體在技術上、道德上、道義上或法律上是可以被接受的。
畢竟,一旦勒索軟體讀取您的檔案,就是犯下未經授權使用罪;一旦覆寫您的檔案,就是犯下未經授權修改的罪行。
更糟糕的是,大多數勒索軟體都會利用這些手法來進行更可惡的勒索取財犯罪 – 即一般我們稱之為勒索、敲詐、恐嚇,或是慣見的犯罪。
但是,13 號星期五對電腦病毒作者來說是個 “瘋狂” 的日子,所以我們來看一個最近作風不同的勒索軟體樣本。
這隻勒索軟體明確而不尋常的宣稱:“我不要錢”。
這隻 PUBG Ransomware 的目的很奇怪:要求你必須玩一個最近發布且名為 PLAYERUNKNOWN’s Battleground (或稱為 PUBG) 的線上遊戲。
Sophos 產品主動偵測到此一惡意軟體並歸類為 Mal/Genasom-A。 本文使用的樣本 SHA256 雜湊值為:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1
PUBG 是 “大逃殺” 類型的遊戲,以一部名為 “大逃殺” (Battle Royale) 的 1999 年日本小說 (2000 年製作成電影) 的日本小說為基礎,內容極為暴力、反烏托邦和極具爭議性,其中青少年學童被迫根據被稱為無線電通信法案 (BR Act) 的政府法律進行死亡鬥爭。
它確實在鼓動一些東西。
無論如何,惡意軟體作者希望您玩 PUBG。只要您玩遊戲一個小時,就可以解開您的檔案。
您的檔案已經被 PUBG Ransomware 加密!
不過不要擔心!解鎖它並不難。
我不想要錢!
只要你玩 PUBG 1 個小時!
理論上,這意味著您必須購買一份遊戲 (目前在英國為 26.99 英鎊) 並安裝該軟體,但勒索軟體沒有費任何心思追蹤您的購買行為。
作者並沒有提供沒有下載連結、相關程式碼、鍵盤側錄程式、信用卡探測器或其他惡意軟體機制來偷偷地監控您的購買行為 (假設您還沒有遊戲)。
為什麼他會選擇 PUBG,以及他為什麼希望您玩這個遊戲,都是一個謎。
在實務上中,您根本沒有必要購買遊戲,因為惡意軟體是透過監控執行應用程式列表中名為 TSLGAME.EXE 的程式來偵測您是否啟動並 “玩” 這個 PUBG 遊戲。(我們其實不知道 TSL 是什麼意思)
因此,您可以將任何手邊可以取得的公用程式重新命名為 TSLGAME.EXE,然後執行它,惡意軟體就會假定您已經遵從玩遊戲的指示。
惡意軟體會顯示一個計數器,以便追蹤您已經玩過多少時間。但其實您不需要等上 3600 秒的遊戲時間 (亦即 60 分鐘或一小時),只要過了 3 秒鐘它就會解密您的資料。
基本上無害?
我們不知道這個惡意軟體的作者是誰,但他在編譯的程式碼中留下了使用者名稱 Ryank。由此可知,這是一個低級且有一點風險性的笑話。
確實,乍看之下,您可能會將這種惡意軟體視為 “基本上無害”,因為它包含內建的解密器。
此外,它還使用硬式編碼的加密程序 (CBC 模式的 AES,密碼為 GBUPRansomware),因此如果解密失敗時,您或有技術能力的朋友或許可以編寫自己的復原工具。
然而,像 PUBG Ransomware 這樣的程式是無法被接受的:我們不能冒著未經授權的風險讓別人使用資料,無論對方多麼仔細計算或小心地撰寫程式。
舉例來說,只要在加、解密時發生一個錯誤或意外狀況,都可能會帶來災難性的後果,包括這個惡意軟體會忽略最常見的執行階段錯誤,以及可能在其他狀況發生時無法運作。
程式碼寫得不好和程式碼測試不當所導致的資料損壞風險顯而易見。
再加上這個寫得很糟的程式碼是未經授權就採取行動的,還有是來自一位匿名作者。如果您的資料發生狀況,根本無法請求支援或以其他方式來解決問題。
… 並且,您會發現為什麼惡意軟體仍然是惡意的,即使它沒有公開索取金錢。
該怎麼辦?
如果你是一個喜歡寫程式的編程愛好者……
……請避免陷入惡意軟體的誘惑。
只要找一個線上編碼社群,您就可以公開貢獻並成為自豪地成為一份子。
只要您願意遵守規則,有許多開源專案都會歡迎您的加入。
不要讓自己落入編寫惡意軟體這一途,這些惡意軟體會耗掉您的餘生,還得躲躲藏藏地希望沒有人知道您參與其中。
了解更多資訊
公然宣稱它對金錢不感興趣的勒索軟體非常罕見。
大多數勒索軟體都是和錢有關 – 你的錢,付錢給這些騙子來找回你的資料。
為什麼不閱讀我們的指南,保持領先網路罪犯一步?
(本博文為翻譯本,內容以英文原文為準)