遠端桌面工具 AnyDesk 被發現藏變種的 BlackRouter 勒索病毒!

日前 Trend Micro 趨勢科技部落格資料顯示,勒索病毒 BlackRouter  發現新變種「 RANSOM_BLACKHEART.THDBCAH 」(簡稱 Blackheart),它被綁定在知名遠端桌面工具 AnyDesk 裡面,只要使用者在非官方下載點,下載到被綁定勒索病毒的 AnyDesk 壓縮檔,並執行開啟 AnyDesk 工具時,就可能會害自己的電腦檔案被勒索軟體加密。

AnyDesk 是許多人都會使用的遠端桌面工具之一,它能在 Windows、MacOS、Linux、FreeBSD、iOS 和 Android 等多種系統上使用,因此如果勒索病毒若肆虐恐怕會造成一陣不安。

不過,這已經不是第一次有勒索軟體利用遠端桌面工具進行勒索傳播,先前 BlackRouter 也曾綁定在另一款遠端桌面工具 TeamViewer 。

只是… 就目前資料無法確認變種的 Blackheart 到底是如何進入系統,但資安人員表示,使用者大多都是在不知不覺間從非官方或惡意網站上下載到內藏勒索病毒的軟體。

如果下載到有問題的檔案,資料夾裡會有 ANYDESK.exe 和 BLACKROUTER.exe 兩個安裝檔,其中 AnyDesk 就是遠端桌面的執行工具,而 BLACKROUTER.exe 則是勒索病毒的執行工具。

如果 BLACKROUTER.exe 勒索病毒執行後,會自動加密桌面、系統資料夾、所有使用者等所有資料夾裡的 .doc、.pdf、.ppt、.exe、.png、.jpg …等多種格式檔案。

如果重要的工作資料就在電腦裡被加密的話,就是件麻煩事了,因為 BlackRouter 會要求使用者支付 50 美元或 0.006164 BTC (比特幣),大概是新台幣 1,500元左右,才能解密文件檔案。

此外,除了這個勒索病毒之外,趨勢科技還發現一款類似的「 TSPY_KEYLOGGER.THDBEAH 」鍵盤記錄病毒,雖然它不是勒索病毒,但卻也是藏在 AnyDesk 裡面。

目前該慶幸的是, BlackRouter 勒索病毒只會影響 AnyDesk 的舊版本,官方下載的新版工具沒有被影響到,如果你不想自己成為受害者的話,建議不要從不明網站下載檔案,最好還是連結到官網取得新版本,而且一定要定期更新系統補丁、安裝資安防護程式才行。

延伸閱讀:

資安機構發現四款惡意 Chrome 擴充功能,趕快移除並檢查瀏覽器設定!

千萬別把鋰電池產品丟到垃圾桶,否則會害垃圾車爆炸起火

Windows、macOS、Linux 驚爆安全漏洞!快來看你中招沒

Twitter 出包導致大量用戶密碼曝光,緊急修復並呼籲儘速更換密碼

行動消費世代來臨,小心行動支付暗藏風險

【限時免費】PC-cillin Internet Security 2018 雲端資安防毒工具「一年免費授權」放送中!

【教學】免費免安裝的遠端桌面工具「AnyDesk」,速度快又能突破防火牆

【教學】教你用《Chrome 遠端桌面》,就算出門也可以遙控電腦!

圖片及資料來源:Trend Micro Blog


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。