360安全卫士近日发现 MiddCrypto 勒索软件以 Photoshop、Typora 等常用软件的破解补丁 / 激活工具为伪装,通过钓鱼网站 + SEO 推广传播。
当用户误将这些伪装的激活工具下载到本地运行后,也确实可以看到软件弹出的激活界面,这也进一步让用户卸下了戒备心理。
所谓的注册机、激活工具被启动后,会根据其内置的云控 URL 中偷偷下载恶意软件载荷到本地,并添加为系统服务加以执行。
MiddCrypto 会使用一种“极简”的加密算法来加密文件,随后还会在中招系统中弹出一个颇具迷惑性的窗口,在触发加密的同时,在桌面上创建一个名为 “系统修复.lnk” 的快捷方式;声称是“系统修复”,并诱导用户支付 99 元人民币购买所谓的“修复服务”。这种“接地气”的勒索手段使得不少网络安全防范意识较弱的用户不慎掉入了陷阱。
用户一旦点击立即支付后,便会跳转到支付页面,并且非常“贴心”地支持支付宝和微信两种支付方式。
在等待用户支付的过程中,该程序还会非常专业地在后台不断循环检查支付状态,该状态包含支付金额、链接等信息。此外,索要的金额也可云端动态调整。此前是 299 元,后降价调整为 99 元。
目前,360 已对此类钓鱼传播页面进行有效拦截。360 也给出建议安全建议:拒绝来源不明的“注册机”;养成重要数据备份习惯;中招后第一时间断网;部署专业安全防护软件;警惕“低价修复”陷阱。
- 源文地址:
https://zhuanlan.zhihu.com/p/1992539054366033782
