【雙失陷阱】GermanWiper 假勒索軟件 刪除檔案再呃贖金
最近一隻專門針對德國人嚟攻擊嘅惡意軟件 GermanWiper,再一次證明就算你俾咗贖金,都唔一定可以將被勒索軟件加密嘅檔案救返,尤其係隻勒索軟件根本無將啲檔案加密,而只係純粹刪除晒啲資料,俾贖金只係再一次造成損失㗎咋。
喺上星期二,有網絡安全專家發現,喺專門提供分析勒索軟件服務嘅 ID Ransomware 網站上,突然開始有人上載一啲新類型嘅檔案;經追查後,專家就發現一隻專門針對德國人嘅惡意軟件 GermanWiper 開始通過電郵嚟發送,黑客透過標題為提供工作機會嘅電郵,引誘收件人打開附件嘅 PDF 檔案。當收件人打開咗檔案,GermanWiper 就會暗中執行 PowerShell 指令,由 expandingdelegation 下載惡意程式並自動執行。
專家深入研究聲稱被上鎖嘅檔案後,揭穿 GermanWiper 嘅交贖金換解鎖方法嘅謊言。專家指出首先程式會終止所有同資料庫或軟件有關嘅運作,等佢可以進行刪除檔案及複寫垃圾數據,但同時間又會保留一啲同 Windows 啟動嘅檔案,另外為咗要假扮成勒索軟件,GermanWiper 會將已無內容嘅檔案副檔名改為 .08kJA、.AVco3 或 .Fi2Ed,驟眼睇會好似俾勒索軟件加密咗一樣,最後就會顯示要求交贖金嘅訊息及方法,話要將約值港幣萬二蚊嘅 Bitcoin 存入一個帳戶先會提供解鎖方法。而為咗確認實際上有幾多人中咗招,GermanWiper 仲會持續透過同 C&C 聯繫嚟追蹤住受害者添!
