適用於企業的道理,同樣也適用於詐騙與惡意程式;若要獲致成功,這些伎倆同樣必須不斷成長並隨機應變。有時候,適用於某種商業模式的想法或方法是從其他商業模式借鑒而來,藉此融會貫通。歸根究底,有些傑作的誕生就是源自這種創造方式;像是冰淇淋跟優格的結合孕育出美味可口的霜凍優格,而著名的喪屍獵人也會告訴您擁有電鋸大槌的無窮好處。專門散播惡意程式並犯下各類詐騙的網路罪犯也希望自家「業務」能夠成功,偶爾也會借鑒彼此的想法。我們最近碰到一個案例,發現有技術支援電話詐騙是使用新型勒索程式變種 (Trojan.Ransomlock.AM) 鎖定使用者的電腦,並誘騙他們撥打一個電話號碼,以取得解決問題的技術協助
勢均力敵的比賽:
勒索程式
勒索程式可分為兩大類:單純鎖定受害電腦螢幕的勒索程式 (Trojan.Ransomlock),以及加密受害電腦上檔案的勒索程式 (Trojan.Ransomcrypt、Trojan.Cryptowall、Trojan.Cryptolocker 等)。
今年,我們觀察到勒索程式版圖中發生了角色互換的重大變化,也就是加密勒索惡意程式變種的普及度正迎頭趕上 ransomlock 變種。Ransomlock 變種或許已在與加密勒索惡意程式變種的競爭中失去領先地位,但絕不會就此淘汰出局,我們有時還是會看到新型變種在螢幕鎖定的商業模式中使出新花招。
圖 1. 截至 2014 年 11 月 7 日為止的十大勒索程式偵測率
技術支援詐騙
技術支援詐騙絕不是新興概念,早已蟄伏了許久。在這些詐騙案件中,不肖份子會突然打電話給不特定的對象,謊稱自己來自知名軟體公司,並試圖說服受害者他們的電腦中充滿嚴重錯誤或惡意程式。最終目的是使用遠端存取工具入侵受害者的電腦,藉以說服使用者這些問題的確存在,同時誘騙受害者購買假冒的修復工具來修正根本不存在的問題。美國聯邦貿易委員會表示這類詐騙方式是成長最快速的網路詐騙方式之一,而在最近數次備受矚目的打擊網路犯罪行動中,這也是其中一項逮捕理由。技術支援詐騙主要是仰賴致電潛在受害者的作案方式,這表示詐騙者需要花費不少功夫;不過,有些網路罪犯現已克服這個問題,找到可讓受害者主動聯繫他們的方法。
當詐騙手法聯手行騙時
我們最近發現到Trojan.Ransomlock.AM 會像其前身一樣鎖定受害電腦的螢幕。遭鎖定的螢幕會顯示藍色當機畫面 (BSoD) 錯誤訊息,但這並非一般的 BSoD!
在此 BSoD 上,訊息內容會聲稱電腦的運作狀態十分危急,並且偵測出一項問題,然後要求使用者撥打技術支援專線。
為了進行研究,我們撥打這支專線,看看這些不肖份子究竟有何目的。
圖 2. 假冒的 BSoD 鎖定畫面
根據我們洽詢的支援工程師 Brian 表示,這家技術支援公司的名稱是「Falcon Technical Support」。一旦撥打這支專線,就會落入與大多數技術支援詐騙相同的犯罪手法中;不過,這個手法最有趣的地方在於利用勒索程式讓使用者主動致電詐騙者。一旦撥打了電話,詐騙者便可取得一切所需資訊,藉以說服使用者電腦已遭受惡意程式的感染…不過其實是遭到 Trojan.Ransomlock.AM 感染。
圖 3. 詐騙者想到一個好點子
Trojan.Ransomlock.AM
根據觀察,Trojan.Ransomlock.AM 是搭配灰色軟體安裝程式 (偵測出來為「Downloader」) 加以散佈。此安裝程式可用於安裝灰色軟體應用程式,例如 SearchProtect 及 SpeedUPMyPc。
執行後,該程式不僅會像廣告一樣安裝灰色軟體,還會丟出另一個名為 preconfig.exe 的檔案,此檔案就是惡意程式安裝程式 (偵測為 Trojan.Dropper)。第二個安裝程式則會在受感染電腦上加入一個項目,因此該電腦在重新開機後就會執行最終酬載 (diagnostics.exe),也就是 Trojan.Ransomlock.AM.
Trojan.Ransomlock.AM 需要網際網路連線以進行非法勾當。此惡意程式必須先將資訊從受害電腦傳送到指令與控制 (C&C) 伺服器,例如主機名稱、IP 位址、螢幕解析度以及一個隨機的號碼。而 C&C 伺服器則會傳回正確大小的影像檔以符合整個螢幕。當不肖份子試圖說服使用者電腦發生問題時,所收集的資訊也是他們行騙的有用跳板,這是其他技術支援詐騙者沒有的資源。惡意程式、外洩的資訊及 BSoD 鎖定畫面都有助於強化詐騙者的社交工程詐騙能力。
幸而,Trojan.Ransomlock.AM 最早是在九月發現,尚未盛行;不過就像任何威脅一樣,情勢很快就會發生變化。根據我們的遙測結果,此類威脅目前僅出現在美國境內。
賽門鐵克防護
在我們所知的勒索程式中,Trojan.Ransomlock.AM 絕不是最複雜或最刁鑽的,實際上也非常簡單。受害電腦看似遭鎖定,不過使用者僅需遵循下述步驟即可將螢幕解除鎖定:
- 同時按下鍵盤上的 Ctrl、Alt 及 Delete 鍵
- 開啟工作管理員
- 搜尋惡意程式名稱 (應該是 diagnostics.exe),然後終止該程序
- 將螢幕解除鎖定後,請依序按下「開始」與「執行」按鈕,然後再鍵入「REGEDIT」,藉以前往登錄編輯器
- 刪除登錄項目 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Diagnostics" = "[PATH TO MALWARE]"
- 您也應該從目錄刪除檔案資料夾
- 賽門鐵克產品使用者僅需執行完整掃描,即可安全地移除 Trojan.Ransomlock.AM。
賽門鐵克會提供下列偵測措施以抵禦這項威脅:
防毒偵測
賽門鐵克建議使用者在致電技術客服中心或接聽其來電時必須格外小心。使用者必須謹慎行事,且務必核對公司身分。如果您需要電腦相關問題的協助,請聯絡信譽良好的電腦維修實體商店,若受到危害的對象是工作用的電腦,則可聯繫您的 IT 支援團隊。