• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:206

●重點摘要：
1.資安公司發現一款名為 Ranscam 的勒索軟體，執行時仍會顯示已加密檔案及須繳贖 BitCoin 才還原的勒索通知。
2.然而檔案其實並沒有加密，反而是直接刪除，無法復原，更會刪除系統相關程式、登錄檔等，使電腦無法啟動工作管理員。
3.勒索通知只是一張暫時儲存在受害設備裡的 JPEG 圖片，受害者點擊驗證按鈕，就變更圖片顯示驗證失敗，將刪除一個檔案。
4.資安專家指出 Ramscam 實際上不具備任何加、解密功能，該程式只是使用恐嚇手法想藉此大撈一筆的拙劣程式。
5.因此受害者即使遭騙而付贖金也於事無補，且受害設備因為系統相關程式檔案已遭刪除，若要繼續使用也只有重灌一途。

●TWCERT/CC 建議重要資料應做好備份機制，不幸感染也不要輕易交付贖金，以圖減少駭客利用。

攻擊手法： 假冒勒索軟體，惡意刪除檔案

參考連結：

http://www.ithome.com.tw/news/107108
http://unwire.pro/2016/07/14/ransomware-ranscam/news/
http://blog.talosintel.com/2016/07/ranscam.html