Site icon Sophos News

勒索軟體說:“我不要錢”,但卻要你玩一場暴力遊戲!

jeu PUBG

作者 Paul Ducklin

感謝 SophosLabs 的 Simon Porter 協助本文的幕後作業。

 

並非所有的勒索軟體都一樣。

先聲明,我們並非暗示任何形式的勒索軟體在技術上、道德上、道義上或法律上是可以被接受的。

畢竟,一旦勒索軟體讀取您的檔案,就是犯下未經授權使用罪;一旦覆寫您的檔案,就是犯下未經授權修改的罪行。

 

更糟糕的是,大多數勒索軟體都會利用這些手法來進行更可惡的勒索取財犯罪 – 即一般我們稱之為勒索、敲詐、恐嚇,或是慣見的犯罪。

 

但是,13 號星期五對電腦病毒作者來說是個 “瘋狂” 的日子,所以我們來看一個最近作風不同的勒索軟體樣本。

 

這隻勒索軟體明確而不尋常的宣稱:“我不要錢”。

這隻 PUBG Ransomware 的目的很奇怪:要求你必須玩一個最近發布且名為 PLAYERUNKNOWN’s Battleground (或稱為 PUBG) 的線上遊戲。

Sophos 產品主動偵測到此一惡意軟體並歸類為 Mal/Genasom-A。
 本文使用的樣本 SHA256 雜湊值為:3208efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1

 

PUBG 是 “大逃殺” 類型的遊戲,以一部名為 “大逃殺” (Battle Royale) 的 1999 年日本小說 (2000 年製作成電影) 的日本小說為基礎,內容極為暴力、反烏托邦和極具爭議性,其中青少年學童被迫根據被稱為無線電通信法案 (BR Act) 的政府法律進行死亡鬥爭。

它確實在鼓動一些東西。

無論如何,惡意軟體作者希望您玩 PUBG。只要您玩遊戲一個小時,就可以解開您的檔案。

您的檔案已經被 PUBG Ransomware 加密!

不過不要擔心!解鎖它並不難。

我不想要錢!

只要你玩 PUBG 1 個小時!

理論上,這意味著您必須購買一份遊戲 (目前在英國為 26.99 英鎊) 並安裝該軟體,但勒索軟體沒有費任何心思追蹤您的購買行為。

作者並沒有提供沒有下載連結、相關程式碼、鍵盤側錄程式、信用卡探測器或其他惡意軟體機制來偷偷地監控您的購買行為 (假設您還沒有遊戲)。

為什麼他會選擇 PUBG,以及他為什麼希望您玩這個遊戲,都是一個謎。

在實務上中,您根本沒有必要購買遊戲,因為惡意軟體是透過監控執行應用程式列表中名為 TSLGAME.EXE 的程式來偵測您是否啟動並 “玩” 這個 PUBG 遊戲。(我們其實不知道 TSL 是什麼意思)

因此,您可以將任何手邊可以取得的公用程式重新命名為 TSLGAME.EXE,然後執行它,惡意軟體就會假定您已經遵從玩遊戲的指示。

惡意軟體會顯示一個計數器,以便追蹤您已經玩過多少時間。但其實您不需要等上 3600 秒的遊戲時間 (亦即 60 分鐘或一小時),只要過了 3 秒鐘它就會解密您的資料。

基本上無害?

我們不知道這個惡意軟體的作者是誰,但他在編譯的程式碼中留下了使用者名稱 Ryank。由此可知,這是一個低級且有一點風險性的笑話。

確實,乍看之下,您可能會將這種惡意軟體視為 “基本上無害”,因為它包含內建的解密器。

此外,它還使用硬式編碼的加密程序 (CBC 模式的 AES,密碼為 GBUPRansomware),因此如果解密失敗時,您或有技術能力的朋友或許可以編寫自己的復原工具。

然而,像 PUBG Ransomware 這樣的程式是無法被接受的:我們不能冒著未經授權的風險讓別人使用資料,無論對方多麼仔細計算或小心地撰寫程式。

舉例來說,只要在加、解密時發生一個錯誤或意外狀況,都可能會帶來災難性的後果,包括這個惡意軟體會忽略最常見的執行階段錯誤,以及可能在其他狀況發生時無法運作。

程式碼寫得不好和程式碼測試不當所導致的資料損壞風險顯而易見。

再加上這個寫得很糟的程式碼是未經授權就採取行動的,還有是來自一位匿名作者。如果您的資料發生狀況,根本無法請求支援或以其他方式來解決問題。

… 並且,您會發現為什麼惡意軟體仍然是惡意的,即使它沒有公開索取金錢。

該怎麼辦?

如果你是一個喜歡寫程式的編程愛好者……

……請避免陷入惡意軟體的誘惑。

只要找一個線上編碼社群,您就可以公開貢獻並成為自豪地成為一份子。

只要您願意遵守規則,有許多開源專案都會歡迎您的加入。

不要讓自己落入編寫惡意軟體這一途,這些惡意軟體會耗掉您的餘生,還得躲躲藏藏地希望沒有人知道您參與其中。

了解更多資訊

公然宣稱它對金錢不感興趣的勒索軟體非常罕見。

大多數勒索軟體都是和錢有關 – 你的錢,付錢給這些騙子來找回你的資料。

 

為什麼不閱讀我們的指南,保持領先網路罪犯一步?

英文原文:  https://nakedsecurity.sophos.com/2018/04/13/the-ransomware-that-says-i-dont-want-money-play-a-violent-game-instead/

(本博文為翻譯本,內容以英文原文為準)

Exit mobile version