新市國中教務處

勒索病毒Ransom_POGOTEAR.A也搶搭寶可夢《Pokemon GO》抓寶熱潮。今年7月開始出現多個冒牌的《Pokemon Go》應用程式，專門誘騙不知情的使用者下載。

<電腦部分>
◎感染管道：
1.從網路上下載：user連上惡意網站時暗中下載到系統上。
2.經由抽取式磁碟散布：在抽取式磁碟上產生一個 AUTORUN.INF檔案，當使用者將被感染的抽取式磁碟插入電腦時，就會自動執行其勒索病毒程式。
3.經由網路共用資料夾散布：將自己複製到網路共用資料夾、網路磁碟及所有實體硬碟上，檔名一樣是「PokemonGo.exe」。
◎惡意行為：
1.連上某些網址 / IP 位址：木馬程式會連上下列網站來傳送和接收訊息http://xxx.xxx.xxx.xxx/PokemonGo/write.php?info={電腦名稱}-{使用者名稱} {金鑰}
2.將檔案加密：{原始檔名與副檔名}.locked
.txt / .rtf / .doc / .pdf / .mht / .docx / .xls / .xlsx / .ppt / .pptx / .odt / .jpg / .png / .csv / .sql / .mdb / .sln / .php / .asp / .aspx / .html / .xml / .psd / .htm / .gif / .png
3.在抽取式磁碟上產生 AUTORUN.INF 檔案，以利自我擴散以及自動執行勒索病毒。
4.產生一個具備系統管理員權限的使用者：
使用者名稱：Hack3r
密碼：Hack3r
5.終止某些執行程序：電腦會出現莫名行為。
◎預防方式：避免潛在入侵風險
1.關閉攜帶裝置自動播放功能。
2.安裝防毒軟體。
3.良好使用習慣。

<行動裝置部分>
◎感染管道：從非官方應用程式商店網站下載並安裝。
◎惡意行為：
1.Android手持裝置無法安裝正常版：非官方檔案分享網站上便立即出現一個冒牌版本，此版本會在 Android 手機上安裝一個遠端存取木馬程式。
2.鎖定螢幕程式：在 Google Play 商店上發現了一個叫做「Pokemon GO Ultimate」的冒牌鎖定螢幕程式。當此應用程式啟動時，會刻意將手機螢幕鎖住來強迫使用者重新開機（有些狀況只能拔掉電池再重開機）。重新開機（改變並取得admin權限）之後，該程式就會在背景暗中執行，並且偷偷點選網路上的色情廣告，讓使用者毫不知情。從 Google Play 下載程式的動作並不會在手機上安裝任何叫做「Pokemon GO Ultimate」的程式，而是一個叫做「PI Network」的程式，而且程式圖示也不一樣。
3.「Guide and Cheats for Pokemon GO」和「Install Pokemon GO」：這類的Pokemon Go 攻略與破解安裝類的冒牌應用程式，暗藏著惡意的彈出視窗或廣告，會讓使用者意外訂購一些昂貴的非必要服務。
4.宣稱使用者的手機感染了病毒必須加以清除，但事實上，使用者一旦點選了它所提供的連結，就會幫你發送一封訂閱簡訊到某個昂貴的服務，手機帳單暴增。
◎預防方式：避免潛在入侵風險
1.只從官方play商店下載Pokemon GO程式。
2.安裝行動版防毒軟體。
3.正確使用習慣。