勒索软件MirCop透过钓鱼信入侵，并以僵尸图片让受害者心生恐惧

骇客发动勒索软件攻击，不只加密档案，还同时窃取受害者储存于浏览器的帐密，并使用极为吓人的图片进行恐吓。例如，资安业者Cofense最近揭露新的MirCop勒索软件攻击，骇客假藉先前曾经联系的名义，诱骗收信人打开附件档案，进而触发MirCop执行。

究竟这个勒索软件是如何侵入受害电脑？Cofense指出，攻击者最常使用的方式就是钓鱼邮件。研究人员特别提到其中1次发生于11月初的攻击行动，他们拦截到一封挟带Mircop的钓鱼信，并发现这封信竟躲过了组织的邮件安全闸道（Secure Email Gateway）系统检查。不过，究竟骇客使用那些手法规避检查，Cofense并未说明。

宣称先前寄过信件为由进行网络钓鱼

钓鱼邮件在许多勒索软件攻击里相当常见，而这起事故也不例外的使用钓鱼邮件来渗透受害电脑。但与时下许多钓鱼信件中，谎称使用者买错东西退款，或者是急需回复的商务档案不同，这次骇客是和收信人装熟，佯称先前寄过信，但收信人似乎没收到，希望对方能看一下附件的内容。这样的手法，乃是利用电子邮件往来的过程中，有时候可能没有收到信的情况做为理由行骗。

从信件的内容来看，攻击者暗示原本的往来信件不慎遗失，需要请收件人存取信件内文的URL来开启文件，攻击者宣称这是DWG公司的供应清单，这个档案储存在Google Drive。

一旦收件人信以为真下载档案，便会取得副档名为MHT的网页封存档案，打开此档案后，确实会看到像是表单文件的扫描档案，但在此同时，攻击者也在背后试图下载恶意软件酬载，这个档案透过WinRAR打包，档名是DWG Following Supplies List，档案类型为可执行档，是MirCop勒索软件的载入工具。

什么是MHT档案？这是一种网页封存的格式，能将网页储存成单一档案，能被Chrome、IE等浏览器存取（Firefox需要透过扩充套件才能读取）。但这种格式的档案近年来也被攻击者滥用，在里面挟带恶意软件或是程式码。

收信人不慎点选执行后，它就会下载MirCop将电脑档案加密，并且更换电脑桌布，除了勒索讯息，背景是相当吓人的僵尸，看起来非常血腥。研究人员指出，整个加密过程不超过15分钟。

但在这个让人会吓一跳的桌布之外，骇客留下的勒索讯息也有值得留意之处。例如，在多数勒索软件攻击事件里，骇客往往要求受害者使用Telegram即时通讯软件，或是操作Tor浏览器，来进行谈判；但使用MirCop的骇客，却是留下了Skype通讯软件的账号。但骇客留下Skype账号的用意为何？研究人员没有说明。

亦搭配免费工具窃取浏览器帐密

除此之外，MirCop不光只是加密档案，还会窃取网页浏览器的帐密。而这项窃密工作的进行，是搭配名为“Web Browser Pass View”的浏览器密码复原工具。而这种利用免费帐密复原工具来窃取帐密的手法，先前也有Npm套件Nodejs_net_server，挟带了同为NirSoft开发的ChromePass。

但相较之下，Web Browser Pass View比起ChromePass更为强大。因为，Web Browser Pass View不像ChromePass只能支援Chrome，还能复原Firefox、IE、Opera的帐密。这个工具可在Windows 2000以上的操作系统执行。使用者可免费下载该工具，将上述浏览器储存的帐密，汇出成纯文字档案，或是CSV档案等格式。