繼「會偷偷幫你點色情廣告，讓你手機帳單暴增」和「假GPS定位?!」的山寨《Pokemon GO》相關事件層出不窮，趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身，遭攻擊的裝置除了檔案被加密之外還會跳出一支Pikachu(皮卡丘)的畫面鎖住電腦螢幕。



《Pokemon GO》手機遊戲如旋風般橫掃全球，網路犯罪集團早就盯上這波熱潮，就連勒索病毒Ransomware (勒索軟體/綁架病毒)也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的Windows應用程式出現，趨勢科技將它命名為：Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇，然而在經過仔細研究之後，發現它是從Hidden Tear這個2015年8月釋出的教育性開放原始碼勒索病毒修改而來。

在受害電腦上建立網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在Windows系統上建立一個名為「Hack3r」的後門使用者帳號，並且將此帳號加入系統管理員(Administrator)群組。此外，駭客還透過修改系統登錄的方式，讓這個Hack3r帳號不會出現在 Windows登入畫面上。同時，它還會在受害者的電腦上建立一個網路共用資料夾，讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時，就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔複製到可卸除式磁碟時，它還會順便建立一個自動執行 (autorun) 檔案，這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若複製到電腦內建的磁碟，則會複製到磁碟的根目錄。歹徒透過這樣的方式，讓當受害者每次登入Windows時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示，有多個跡象顯示這個勒索病毒目前仍在開發階段。首先，它採用了固定的AES加密金鑰：「123vivalalgerie」。其次，其幕後操縱(C&C)伺服器使用的是私人IP位址，這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看，它似乎是針對阿拉伯語系的國家而開發，勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此，其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思)，這似乎也透露出程式開發者的國籍。

執行檔複製到可卸除式磁碟時，就會自動執行《Pokemon GO》寶可夢勒索病毒

使用Hidden Tear程式碼的勒索病毒已不是第一次出現。2015年1月，趨勢科技在某個遭到駭客入侵的巴拉圭網站上即發現，趨勢科技命名為 RANSOM_CRYPTEAR.B的勒索病毒。根據分析，入侵該網站的是巴西的駭客，而這個勒索病毒就是從Hidden Tear的程式碼修改而來。當初Hidden Tear的作者在釋出原始碼時即非常清楚地表示僅供教育用途，不得利用Hidden Tear來開發勒索病毒。但很不幸地正如我們所料，而且Ransom_CRYPTEAR.B和這次的Pokemon 勒索病毒也證明，就算是立意良善，極度敏感的資訊一旦曝光，就難保不會遭歹徒利用。



要防範勒索病毒感染，建議使用者應該定期備份檔案並且安裝一套隨時更新的資安軟體。可跨平台跨裝置防護的趨勢科技PC-cillin 雲端版可防止使用者感染最新的《Pokemon GO》相關勒索病毒。未來，隨著《Pokemon GO》遊戲開放更多新的國家，這波瘋狂熱潮勢必繼續延燒下去，而網路犯罪集團也會開發出更多的犯罪技巧。事實上，光是今年七月就出現多個冒牌的《Pokemon GO》應用程式，專門誘騙不知情的使用者下載。這次的病毒只是再提醒我們應該隨時保持警戒，小心任何利用這類遊戲熱潮的威脅。

以正當途徑下載正確App，以免成為駭客的待宰羔羊

為讓自己能夠安心玩、快樂玩Pokemon GO，遠離駭客們的侵害，基本上就是要先認知Pokemon GO是一套手機遊戲軟體，因此下載方式一定是透過手機來下載，不要透過電腦來下載，以避免各種「假的」軟體來入侵您的電腦，此外，在手機下載App時，搭配安裝「行動安全防護」軟體，才是最安全、最正確的作法。以下是五個實用的手機遊戲安全秘訣，提供給玩家做參考：

(1) 從可信賴的來源下載：

儘管全球都在關注《Pokemon GO》的新聞，但該遊戲目前仍未在某些地區上市。根據報導，遊戲開發廠商 Niantic 目前正忙於應付首發國家玩家所造成的熱潮，因此並不打算進一步在更多國家開放，但隨著熱潮持續加溫，許多等不到正式開放的玩家紛紛試圖在網路上尋找非官方下載管道。

根據以往經驗，凡是熱門的遊戲總是會在非官方下載管道上出現所謂的免費「破解版」。這些版本儘管聽起來非常誘人，但卻很容易讓您的裝置感染惡意程式，雖然過去也曾有惡意程式在官方應用程式商店上架的案例，但不可諱言，官方商店仍是您避開危險應用程式的最佳途徑。

根據最近一項報導，中國、印度和印尼是 Android 裝置感染惡意程式最嚴重的國家，這一點跟當地民眾喜歡從非官方管道下載熱門遊戲有關，然而，這些遊戲實在不值得使用者冒著感染惡意程式的風險。



(編按：雖說目前台灣地區已開放下載了，但因部份Android手機仍有不相容狀況，必須透過自行安裝APK的方式來執行，但這種方式仍然呈現一些風險。首先要進入設定，在安全性選項中，打開「未知的來源」選項，然後再將遊戲的APK安裝進去，等於曝露了手機使用的安全性)。

(2) 專為遊戲開設一個帳號：

隱私權的維護越來越難，尤其今日的遊戲和服務都會要求提供許多個人資訊才能註冊。若您不希望因為玩《Pokemon GO》而暴露自己的身分資料，那麼您可以另外建立一個專門用來玩遊戲的使用者名稱和電子郵件帳號。記得使用與您個人郵件帳號完全不同的資料，以免廠商從這個帳號連結到您的其他網路活動。

此外，您也應該仔細考慮是否要用您的社群媒體帳號來登入任何應用程式、遊戲、或線上服務，因為這些網站會蒐集您的線上活動，然後將蒐集到的資料用於個人化行銷和研究用途，一旦這些網站或服務發生資料外洩，您將陷入身分或帳號被盜用的風險，這絕對不是您當初想要的。



(編按：Pokemon GO遊戲，可支援使用Google帳號登入或Pokemon Trainer Club的PTC帳號登入。一般人大多為了想要快速進入遊戲，而直接選擇使用Google帳號登入，這樣等於間接曝露個人的各種敏感個資。因此，在玩之前，建議可以先另外申請一個PTC帳號，然後以該PTC帳號來進行遊戲，減少多餘的個資曝露機會。或許你覺得個資開放給該遊戲的開發商Niantic公司沒差，該公司也不至於拿你的個資去做壞事。但是，因為該遊戲的高人氣，已讓全世界不少駭客們，躍躍欲試地想要入侵Niantic的資料庫，要是他們成功了，就有可能取得你的個資囉！更何況，您在進入遊戲時，就已同意Niantic必要時可以將您的個資給予第三方服務供應商，要是這些第三方廠商的資安做不好，您說能不謹慎嗎？)

(3) 小心評估您開放給應用程式的權限：

採用擴增實境(AR, Augmented Reality)技術的《Pokemon GO》非常仰賴定位資訊來運作，因此其要求的權限也比大部分應用程式來得多，請仔細查看該遊戲想要存取您的哪些資訊、功能及設定，請確認您覺得放心再加以開放。

《Pokemon GO》在首發上市時曾經要求存取使用者 Google 帳戶的所有權限，這意味著它可以查看並修改帳戶內的所有資料，從 Gmail 到 Google Maps 無一倖免。在遭人披露之後，開發廠商 Niantic 迅速釋出了一個更新版本來解決這個問題，其所需權限已縮小至 Google 設定檔的基本資訊，包括：使用者名稱和電子郵件地址。

(4) 隨時保持更新：

如前面所述，更新可以確保應用程式所發現的問題和漏洞都獲得修正。當您在更新應用程式時，請和您第一次下載時一樣謹慎，看看程式是否需要增加任何額外的權限，並確實了解更新的內容，您也可以瀏覽其他使用者的評論，看看這次的更新是否對您有幫助，以及是否適用您的裝置型號。

(5) 安裝一套值得信賴的行動安全防護軟體：

紮實的防禦是安全的重要一環，這意味著，您應該在裝置上安裝一套全方位的行動安全防護軟體來提供您必要的防護，以降低感染惡意程式的機率。



總之，PC-cillin 跨裝置全面保護，保佑電腦乖乖，你看不見的網路陷阱，交給我一網打盡。


●PC-cillin雲端版 30 天免費下載試用


本文引自趨勢官方授權之網路優質文章：http://blog.trendmicro.com.tw/?p=26633
以及：http://blog.trendmicro.com.tw/?p=25820


→更多的【PCDIY!資訊安全世界】： 請見

→更多的【PCDIY!資訊安全專欄】： 請見

→更多的【PCDIY!八卦】： 請見

→更多的【PCDIY!軟體玩家】： 請見

→更多的【PCDIY!開箱文】： 請見

→更多的【PCDIY!玩家話題】： 請見

延伸閱讀

(01)防毒良藥》PC-cillin 2017雲端版守護電腦，趨勢科技行動安全防護App保障手機！
(02)原廠檔案都有木馬了，難怪怎樣玩都會被盜帳號！
(03)震撼！群暉NAS爆史上最嚴重漏洞》Synology NAS年初才爆挾持挖礦，鬼月又出脅迫逼付贖金
(04)震撼，被嫌史上最吵防毒軟體》業主請求協助刪除360安全衛士，以毒攻毒這哪招？
(05)硬碟故障資料救援報價3萬8 引爆網友熱議！
(06)趨勢PC-cillin 2017雲端版，防範勒索病毒的最佳良藥！
(07)英雄聯盟LoL病毒、流亡黯道PoE木馬的殺毒挑戰，30家防毒軟體業者掃描不出木馬病毒！
(08)跨平台新病毒傳染途徑更廣泛，使用PC-cillin 2017雲端版來全面防範！
(09)Cerber勒索病毒透過惡意廣告散播，台灣已成重災區
(10)震撼，Microsoft出包沒修好臭蟲又爆新災情》網友氣炸爆Windows Update比病毒還可怕，視窗更新一波未平一波又起！
(11)2016資安數字大盤點，使用PC-cillin 2017自我防護
(12)在出現勒索訊息之前，勒索病毒暗中做的四件事
(13)hao123也是寄生獸會綁架人腦 引爆網友熱議！
(14)勒索病毒肆虐，PC-cillin雲端版讓你遠離檔案危機
(15)震撼，Microsoft爆史上最嚴重出包》Windows Vista、7、8與8.1全中獎，安裝更新之後就得要修理或重灌！
(16)這隻皮卡丘抓不得》勒索病毒也搶搭寶可夢Pokemon GO抓寶熱潮，玩家必看的5個手機遊戲安全秘訣！
(17)謹防網路交易安全，搭配PC-cillin「密碼管理通」保障購物安全
(18)網拍陷阱多，看穿詐騙網站手段三秘訣
(19)震撼，史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料，特工級瑞晶間諜軟體一度掃描不出來！
(20)帳號保護與社群防護須知，搭配趨勢PC-cillin「密碼管理通」與「社群網站防護」來保障您的數位隱私
(21)勒索病毒徹底防護大作戰》小心資料被綁架，安裝趨勢防毒軟體保平安
(22)防毒軟體殺很大》「趨勢科技PC-cillin 2016雲端版」價格砍到見骨，台幣200元有找真便宜！
(23)震撼，網友瘋傳Apple iCloud流出女星裸照、性愛影片》網友跪求下載點，880MB、150MB謎之壓縮檔案意外爆紅！
(24)105年報稅→104年度綜所稅，報稅五大須知，用PC-cillin 2016安全報稅
(25)老闆，我要買趨勢科技PC-cillin 2016雲端版！
(26)全新硬碟存有中國機密資料 網友警告：小心中南海殺手盯上！
(27)研發代號Win7 SP2》 最新的微軟Windows 7更新懶人包推出，系統更新一次搞定！
(28)趨勢科技PC-cillin 2016雲端版完整功能介紹與最佳化調校設定