变种勒赎软件没江湖道义，拿了钱还撕票!

勒赎软件绑架、加密使用者档案以要求赎金已经很可恶，但思科Talos安全研究部门发现一只变种勒赎软件，收了钱还不履行承诺，最终还是将档案删掉。

研究人员指出，名为Ranscam的变种勒赎软件，为一.NET可执行档，一旦开启，会显示要求使用者支付0.2比特币赎回档案的宣告讯息。然而它和“正宗”的勒赎软件如Cryptowall 或 TeslaCrypt有数点不同。首先，宣告讯息表示它已经将受害者电脑中的档案“搬移到一个隐密的加密储存区”。这则讯息在受害电脑每次开机时都会重复出现，但它其实只是暂存在受害电脑中的一则JPEG图档，每次开机利用IE浏览器开启。

这则讯息并指出只要受害者付钱后按下验证按键，验证成功后就会解密。当惊慌失措的使用者依约支付赎金按下按键后，却只看到一则验证失败的讯息，表示每验证失败一次就会删掉一个档案。但其实按下这个验证按键真正触发的只有恶意程式从远端服务器取得静态PNG图片，完全没有实际验证行为发生。而且这只勒赎软件根本不具备回复功能，使用者档案早就被删除了。

↓ Ranscam显示的勒赎画面（来源：Talos），要求支付0.2个比特币，并要受害者按下左下方黄色的按键进行验证，以解开被加密的档案。

↓ 按下按键后显示验证失败，尚未支付赎金，将删除一个档案为惩罚的讯息，实际上档案早被删除了。

Talos研究人员指出，这个Ramscam实际上不具备任何加、解密功能，该程式只是使用恐吓手法想借此大捞一笔的拙劣程式。

幸好研究人员追踪后发现，Ramscam作者只收到277.61美元的赎款，并未酿成大灾。但是除了删除用户档案，它还会删除负责系统回复的核心Windows可执行档、阴影复制（shadow copies）、以及电脑进入安全模式的数个重要登录档金钥（registry key），关闭工作管理员，受害者只有重灌电脑一途。

Talos研究人员表示，这再次说明千万不能相信骇客会遵守诺言，而且企业与个人更应该建立完备的备份策略，以断绝骇客拿了钱来开发勒赎软件的商业模式。