免墜勒索軟件陷阱　分析VirLock背後機制

網絡威脅除了有時直接破壞系統、偷竊資料、DDoS阻斷服務，有時會以恐嚇手法威脅企業交付贖金否則向其發動攻擊，這類勒索軟件(Ransomware)近期似乎有上升趨勢。企業被威脅的形式多變，例如重要資料被複製，黑客可以公開資料以破壞該公司商譽，也可以暗中交涉化解事件。

Lock Screen病毒再現

近期網絡曾偵測到一系列Win32/VirLock及變種病毒散佈，ESET研究人員首次發現這類軟件。受害者感染後，病毒透過鎖上用戶電腦熒幕，並自行複製不同型態分身寄生在系統檔案內，令用戶不能正常使用電腦進行業務。用戶要交出贖金才能解除鎖屏，不過這類攻擊已經有工具可以協助移除，企業無須供養這班犯罪分子，為日後更大的攻擊提供「軍火」。

勒索技術分析

Ransomware大致分為兩大群組，LockScreens及Filecoders，更有少數會混合兩技術，一邊將資料加密一邊鎖熒幕來癱瘓用戶裝置。例子有Android/Simplocker，第一個能封鎖Android設置熒幕的Ransomware。VirLock感染用戶檔案，加密並變形為可執行檔，另一面以LockScreen警告用戶提示交出贖金。用戶由於Task Manager及explorer.exe被強制停止而無法解除困境。

由此病毒能變成不同形態依附在原有用戶檔案上，換句話說每次偵測到的檔案都因應「宿主」而不同，更厲害的是多層加密的技術，牢不可破的技術顯示製作人對不同技術熟悉程度。

有用連結：

ESET’s standalone cleaner: http://download.eset.com/special/ESETVirlockCleaner.exe