假防毒軟體現在也開始從事勒索

假防毒軟體現在也開始從事勒索

資料來源：趨勢科技
http://tw.trendmicro.com/tw/support/tech-support/board/trend/article/20090617140343.html
日前出現了一個新型態的假防毒軟體，會讓遭到感染的使用者無法使用自己的一些重要檔案。這項新的威脅，很顯然是從前一代的假防毒軟體攻擊與變種演化而來，將實體世界所採用的勒索技巧應用到線上世界，不過目的還是為了騙取使用者的錢財。

威脅

假防毒軟體其實已經橫行多年，專門詐騙一些不幸的受害者。這些軟體程式大多是來自網頁，通常是透過一些社交工程技巧讓使用者不小心安裝了這些程式。一旦安裝之後，這些程式會顯示各種不同的感染徵兆來嚇唬使用者，讓他們誤以為電腦出了問題。這些感染徵兆包括出現錯誤訊息、對話方塊，甚至是當機的藍色畫面或藍色桌面，讓使用者驚覺系統遭到感染。然後，假防毒軟體會宣稱可以幫使用者掃瞄並清除系統上所謂的「感染」，但使用者必須付費購買「完整版」的軟體才行。
就在 2009 年 3 月，研究人員發現了一種新型態的惡意軟體在原有的詐騙手法上增加了一個勒索程式元件。過去也有網路犯罪者使用勒索程式來進行線上詐騙，此類軟體會將感染電腦上的檔案加密，然後要求使用者支付贖金才能解密。勒索程式能夠鎖定、加密或弄亂檔案 (等於是挾持檔案)，讓使用者無法存取這些檔案。這類惡意程式通常會告訴使用者，如果想要存取這些檔案，只要支付網路犯罪者一筆款項，就能取得解密金鑰。
趨勢科技將這次偵測到的假防毒軟體勒索程式命名為 TROJ_FAKEALE.BG。根據我們研究人員的分析，這次的威脅有兩個主要特點：其一是不僅讓使用者掉入騙局，而是真正的成為受害者；其二是利用使用者的資訊來勒索。
該木馬程式是透過網頁散播，這是假防毒軟體慣用的手法。該程式包含兩個元件：一個 .DLL 檔案和一個 .EXE 檔案，兩者各司其職。
勒索程式行為
其中的 .DLL 元件負責扮演黑臉，將使用者在「我的文件」資料夾中的下列檔案類型加密：DOC、DOCM、DOCX、DOTM、DOTX、JPEG、JPG、MDB、MP3、PDF、PNG、POTM、POTX、PPAM、PPSM、PPSX、PPT、PPTM、PPTX、PST、WMA、XLAM、XLS、XLSB、XLSM、XLSX、XLTM 以及 XLTX。這些是常用的一些文件、影像、音樂、投影片簡報、試算表等檔案格式，對使用者來說不僅重要，而且隨時可能用到。當這些檔案遭到加密之後，使用者就無法使用對應的程式開啟這些檔案。
假防毒軟體行為
接著，由 .EXE 元件扮演白臉。在 .DLL 將檔案加密之後，此元件就會顯示一個訊息，指出使用者嘗試開啟的檔案已經損毀。此外，當使用者嘗試直接存取遭到加密的檔案時也會出現訊息。另外，工作列上也會出現錯誤訊息來提供相同的建議 (如圖 1)。訊息當中會提供一個修復選項，不過，當使用者按下這個按鈕，就會被重導至一個提供 FileFix Professional 2009 軟體的網站。
正如其名稱所代表的意義，FileFix 理當可以修復檔案損毀問題，並且讓受感染的使用者能夠再次開啟自己的檔案。但該程式事實上只會解開一個檔案而已。若要修復所有的檔案，使用者必須下載付費版本的 FileFix。這個軟體表面上看起來還蠻實用的，但事實上，使用者所支付的 $50 美元卻只是用來將該程式所加密的檔案解密而已。
經過進一步的分析，我們的研究人員發現暗藏這個假防毒軟體的網域也涉及了一些趨勢科技 2007 年所追蹤到的廣告點選詐騙和其他衝高點按次數的詐騙。同一群網域也暗藏了一些與 Storm/Waledac 相關的 Bot 網路最新變種。從這些惡意網域可以發現這群網路犯罪者從事詐騙已經有相當的時日，不過，結合假防毒軟體與勒索程式的手法，卻是為線上使用者帶來了全新的風險。人們已經很習慣將文件、影像、音樂等檔案全都儲存在電腦上，包括值得留念的回憶到營運關鍵的業務檔案都有。光是無法開啟這些檔案，就足以讓使用者雙手奉上這筆款項給網路犯罪者。
使用者所面對的風險
假防毒軟體巧妙善用了今日網路使用者的一般認知，那就是網際網路潛藏了各種安全威脅。早期的變種主要是矇騙不知情的使用者付錢購買完全沒有作用的軟體，並且助長詐騙更加猖獗。而這次的攻擊，則是將風險帶向另一個領域：不僅電腦可能暴露於風險，連電腦內的檔案也無法倖免。遭遇這項威脅的使用者不僅將損失這筆金錢，而且可能讓自己蒙受更多的損失。網路犯罪者除了獲得一筆金額之外，還可能記錄使用者的登入資料與付款資訊，進一步拿來從事不法用途或在地下網站上販賣。
趨勢科技的解決方案與建議
趨勢科技 Smart Protection Network 提供了比傳統方法更聰明的安全防護。能夠在威脅進入您的電腦之前預先攔截。廣泛應用於趨勢科技各種解決方案和服務的 Smart Protection Network 結合了獨特的雲端技術以及輕量化用戶端架構，能在您連線上網時立即自動保護您的資訊。此外，也是唯一具備威脅關聯分析能力、找出個別元件在整個威脅當中所扮演角色的防毒技術。
在這個案例當中，Smart Protection Network 可利用網頁信譽評等技術來保護使用者，偵測已知的惡意或危險網站，並且根據網域的信譽評等防止使用者存取這類網站。在桌上型電腦上，檔案信譽評等技術可過濾電腦所有自動下載的檔案，因此能夠偵測並移除 TROJ_FAKEALE.BG 以及其他危險的假防毒軟體元件。
已經感染這項威脅的使用者，可從趨勢科技下載一個修復工具來回復遭到加密的檔案，網址：http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/MFileDecryptor.zip
趨勢科技惡意程式部落格對上述威脅有詳細的討論：
http://blog.trendmicro.com/data-for-ransom-syndicates-strike-online/
病毒報告請看這裡：
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKEALE%2EBG&VSect=Sn