資料來源：ithome

https://www.ithome.com.tw/news/147787

勒索軟體不光會加密電腦檔案，還會竊取受害電腦的瀏覽器帳密，而這是搭配免費的瀏覽器帳密復原工具來達成

駭客發動勒索軟體攻擊，不只加密檔案，還同時竊取受害者儲存於瀏覽器的帳密，並使用極為嚇人的圖片進行恐嚇。例如，資安業者Cofense最近揭露新的MirCop勒索軟體攻擊，駭客假藉先前曾經聯繫的名義，誘騙收信人打開附件檔案，進而觸發MirCop執行。

究竟這個勒索軟體是如何侵入受害電腦？Cofense指出，攻擊者最常使用的方式就是釣魚郵件。研究人員特別提到其中1次發生於11月初的攻擊行動，他們攔截到一封挾帶Mircop的釣魚信，並發現這封信竟躲過了組織的郵件安全閘道（Secure Email Gateway）系統檢查。不過，究竟駭客使用那些手法規避檢查，Cofense並未說明。

宣稱先前寄過信件為由進行網路釣魚

釣魚郵件在許多勒索軟體攻擊裡相當常見，而這起事故也不例外的使用釣魚郵件來滲透受害電腦。但與時下許多釣魚信件中，謊稱使用者買錯東西退款，或者是急需回覆的商務檔案不同，這次駭客是和收信人裝熟，佯稱先前寄過信，但收信人似乎沒收到，希望對方能看一下附件的內容。這樣的手法，乃是利用電子郵件往來的過程中，有時候可能沒有收到信的情況做為理由行騙。

從信件的內容來看，攻擊者暗示原本的往來信件不慎遺失，需要請收件人存取信件內文的URL來開啟文件，攻擊者宣稱這是DWG公司的供應清單，這個檔案儲存在Google Drive。

一旦收件人信以為真下載檔案，便會取得副檔名為MHT的網頁封存檔案，打開此檔案後，確實會看到像是表單文件的掃描檔案，但在此同時，攻擊者也在背後試圖下載惡意軟體酬載，這個檔案透過WinRAR打包，檔名是DWG Following Supplies List，檔案類型為可執行檔，是MirCop勒索軟體的載入工具。

什麼是MHT檔案？這是一種網頁封存的格式，能將網頁儲存成單一檔案，能被Chrome、IE等瀏覽器存取（Firefox需要透過擴充套件才能讀取）。但這種格式的檔案近年來也被攻擊者濫用，在裡面挾帶惡意軟體或是程式碼。

收信人不慎點選執行後，它就會下載MirCop將電腦檔案加密，並且更換電腦桌布，除了勒索訊息，背景是相當嚇人的殭屍，看起來非常血腥。研究人員指出，整個加密過程不超過15分鐘。

但在這個讓人會嚇一跳的桌布之外，駭客留下的勒索訊息也有值得留意之處。例如，在多數勒索軟體攻擊事件裡，駭客往往要求受害者使用Telegram即時通訊軟體，或是操作Tor瀏覽器，來進行談判；但使用MirCop的駭客，卻是留下了Skype通訊軟體的帳號。但駭客留下Skype帳號的用意為何？研究人員沒有說明。

亦搭配免費工具竊取瀏覽器帳密

除此之外，MirCop不光只是加密檔案，還會竊取網頁瀏覽器的帳密。而這項竊密工作的進行，是搭配名為「Web Browser Pass View」的瀏覽器密碼復原工具。而這種利用免費帳密復原工具來竊取帳密的手法，先前也有Npm套件Nodejs_net_server，挾帶了同為NirSoft開發的ChromePass。

但相較之下，Web Browser Pass View比起ChromePass更為強大。因為，Web Browser Pass View不像ChromePass只能支援Chrome，還能復原Firefox、IE、Opera的帳密。這個工具可在Windows 2000以上的作業系統執行。使用者可免費下載該工具，將上述瀏覽器儲存的帳密，匯出成純文字檔案，或是CSV檔案等格式。