勒索病毒變種找財源 比特幣錢包也遭竊

資安業者科技發現，自去年以來透過惡意廣告散播、把台灣當主戰場的Cerber勒索病毒，又有新變種，在檔案加密前，先偷儲存在瀏覽器上的密碼，還會竊取虛擬貨幣比特幣錢包。

科技在官方部落格發文表示，Cerber現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年5月，趨勢科技才介紹過該病毒的6個演化版本的行為演變，沒過幾個月，現在又出現了新的演化版本。

整體上，這波Cerber病毒是經由電子郵件附檔散布，其鎖定竊取的比特幣（Bitcoin）錢包有三種；第一種是比特幣官方的Bitcoin Core錢包，另外兩種是第三方的Electrum和Multibit錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案：「dat（Bitcoin）」、「*.wallet（Multibit）」、「dat（Electrum）」。

此處有兩點值得注意。第一，竊取這些檔案並不代表就能取得錢包內的比特幣，歹徒仍須取得用來開啟錢包的密碼。第二，Electrum從2013年後期即不再使用electrum.dat檔案。

不過，趨勢科技提醒，新的Cerber變種所竊取的資訊不只這些，它還會試圖偷取Internet Explorer、Google Chrome及Mozilla Firefox等瀏覽器儲存在電腦上的密碼。值得注意的是，這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。

病毒一旦找到這類密碼與比特幣錢包檔案，就會將資料傳送至駭客的幕後操縱（C&C）伺服器，而且錢包檔案一旦傳送至遠端伺服器，病毒就會將電腦上的錢包檔案刪除，讓受害者蒙受更大的損失。

表示，從這項新的行為可以看出，駭客正試圖為勒索病毒尋找新的獲利管道，而竊取受害者的比特幣錢包，的確是一項有利可圖的潛在收入來源。

針對防範之道，趨勢科技指出，目前 Cerber 感染電腦的管道依然不變，所以原本的防範之道還是適用；使用者只要養成習慣，不要輕易開啟來自外部或不明來源電子郵件附件檔案，即可有效降低風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！