作者：趋势科技信息安全威胁高级研究员 Loucif Kharouni

最近我在美国德州达拉斯举行的 VB2012 大会上发表了一篇演讲，主题是关于今日最新的威胁发展情势：日益猖獗的警察勒索程序。稍早前，趋势科技也曾发表过一份有关这项威胁的白皮书：The “Police Trojan” (警察木马程序)。

所谓勒索软件，其主要概念相当简单：歹徒让用户无法使用自己的计算机，必须支付赎金才能解开被锁定的计算机。这类威胁最早在 2005 至 2006 年间首次在俄罗斯发现。

最近，我们发现此类威胁已扩散至其他国家。歹徒会利用地理信息来显示一个假冒当地警方的信息，告诉用户因为他们触犯了某些法律而使得计算机被锁定，必须支付罚款才能解锁。

在仔细研究过这项威胁后，我们发现这项威胁在某种程度上很类似先前出现过的假防病毒软件。不同的犯罪集团有自己的版本，其社会工程学技巧也非常纯熟，用户总是愿意花钱消灾，因此一直有新的版本出现。除此之外，歹徒还会利用一些机制来将赎款变现。

趋势科技至少发现了两个集团分别使用两种不同的机制。不同集团针对的国家不同，并会使用当地可用的付款机制。他们使用的木马程序也有些差异。

其中一个集团使用的是服务器端程序码，根据用户所在国家提供不同的影像和程序。

另一个集团则使用另一种技巧。他们将影像和程序内嵌在一段 base64 编码的 PHP 程序中。影像和程序码永远会一起下载，这一点有别于第一种手法。

倘若用户所在的国家无法确定（或者用户不在歹徒针对的国家），那么就会显示一个类似假防病毒软件的一般信息。

歹徒如何拿到钱？歹徒不会要求刷卡，而是要求受害者购买电子点券。目前歹徒使用的电子点券有两种：Ukash 和 paysafecard。这两种都是合法经营的业务，但这些点券就如同现金一样，可以自由移转而不会留下记录。

歹徒会将收集到的点券以面额 40% 至 50% 的价格贩卖给一些交流网站。这些交流网站再以最高面额 90% 的价格卖给用户。

这些案例突显出网络犯罪者如何尝试新的手法来取代效果较差的老旧手法。新的犯罪集团不断出现，新的商业模式也不断创造出来。就看信息安全产业如何跟上脚步，保护用户。

◎原文来源：警察勒索程序：如何让您的恶意软件受人瞩目(Police Ransomware: How to Get Your Malware Noticed)

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！