免墜勒索軟件陷阱　分析 VirLock 背後機制

網絡威脅除了有時直接破壞系統、偷竊資料、DDoS 阻斷服務，有時更會以恐嚇手法威脅企業交付贖金否則便向其發動攻擊，這類勒索軟件(Ransomware)近期似乎有上升趨勢。企業被威脅的形式多變，例如重要資料被複製，黑客可以公開資料以破壞該公司商譽，也可以暗中交涉化解事件。

Lock Screen 病毒再現

近期網絡曾偵測到一系列 Win32/VirLock 及變種病毒散佈，ESET 研究人員首次發現這類軟件。受害者感染後，病毒透過鎖上用戶電腦熒幕，並自行複製不同型態分身寄生在系統檔案內，令用戶不能正常使用電腦進行業務。用戶要交出贖金才能解除鎖屏，不過這類攻擊已經有工具可以協助移除，企業無須供養這班犯罪分子，為日後更大的攻擊提供「軍火」。

勒索技術分析

Ransomwar e大致分為兩大群組，LockScreens 及 Filecoders，更有少數會混合以上技術，一邊將資料加密一邊鎖熒幕來癱瘓用戶裝置。例子有 Android/Simplocker，第一個能封鎖 Android 設置熒幕的 Ransomware。VirLock 感染用戶檔案，加密並變為可執行檔，另一面以 LockScreen 警告用戶提示交出贖金。用戶由於 Task Manager 及 explorer.exe 被強制停止而無法解除困境。

由此病毒能變成不同形態依附在原有用戶檔案上，換句話說每次偵測到的檔案都因應「宿主」而不同，更厲害的是多層加密的技術，牢不可破的技術顯示製作人對不同技術熟悉程度。

有用連結：

ESET’s standalone cleaner: http://download.eset.com/special/ESETVirlockCleaner.exe