變種勒贖軟體沒江湖道義，拿了錢還撕票!

勒贖軟體綁架、加密使用者檔案以要求贖金已經很可惡，但思科Talos安全研究部門發現一隻變種勒贖軟體，收了錢還不履行承諾，最終還是將檔案刪掉。

研究人員指出，名為Ranscam的變種勒贖軟體，為一.NET可執行檔，一旦開啟，會顯示要求使用者支付0.2比特幣贖回檔案的宣告訊息。然而它和「正宗」的勒贖軟體如Cryptowall 或 TeslaCrypt有數點不同。首先，宣告訊息表示它已經將受害者電腦中的檔案「搬移到一個隱密的加密儲存區」。這則訊息在受害電腦每次開機時都會重覆出現，但它其實只是暫存在受害電腦中的一則JPEG圖檔，每次開機利用IE瀏覽器開啟。

這則訊息並指出只要受害者付錢後按下驗證按鍵，驗證成功後就會解密。當驚慌失措的使用者依約支付贖金按下按鍵後，卻只看到一則驗證失敗的訊息，表示每驗證失敗一次就會刪掉一個檔案。但其實按下這個驗證按鍵真正觸發的只有惡意程式從遠端伺服器取得靜態PNG圖片，完全沒有實際驗證行為發生。而且這隻勒贖軟體根本不具備回復功能，使用者檔案早就被刪除了。

↓ Ranscam顯示的勒贖畫面（來源：Talos），要求支付0.2個比特幣，並要受害者按下左下方黃色的按鍵進行驗證，以解開被加密的檔案。

↓ 按下按鍵後顯示驗證失敗，尚未支付贖金，將刪除一個檔案為懲罰的訊息，實際上檔案早被刪除了。

Talos研究人員指出，這個Ramscam實際上不具備任何加、解密功能，該程式只是使用恐嚇手法想藉此大撈一筆的拙劣程式。

幸好研究人員追蹤後發現，Ramscam作者只收到277.61美元的贖款，並未釀成大災。但是除了刪除用戶檔案，它還會刪除負責系統回復的核心Windows可執行檔、陰影複製（shadow copies）、以及電腦進入安全模式的數個重要登錄檔金鑰（registry key），關閉工作管理員，受害者只有重灌電腦一途。

Talos研究人員表示，這再次說明千萬不能相信駭客會遵守諾言，而且企業與個人更應該建立完備的備份策略，以斷絕駭客拿了錢來開發勒贖軟體的商業模式。