史上最狠的勒索軟體CryptoLocker從9月開始在全球各地肆虐,臺灣企業也成了攻擊標的,陸續傳出受災消息。

CryptoLocker透過釣魚郵件入侵,鎖定受害者電腦中、USB、網路芳鄰、雲端硬碟、檔案伺服器的檔案,駭客混用AES與RSA這2種加密技術,將檔案全數加密,導致檔案無法存取,受害者想要自行復原,簡直是天方夜譚。駭客並且限期3天(另有一說,限期4天)內,必須支付3,000或9,000元贖金,否則將毀損解密金鑰,代表受害者針對的檔案將會全數消失。

CryptoLocker雖然會搜尋所有網路上的檔案,但並不會透過內網散播,也就是說,假設企業內僅一臺電腦受害,其他使用者只要不被社交工程誘騙成功,就不會有感染的可能。Sophos臺灣區技術經理詹鴻基表示,這個軟體主要會對本機電腦裡面以及網路硬碟中的特定目標檔案類型進行加密,除此之外沒有其他的破壞行為。

防毒軟體可偵測CryptoLocker,企業無須過度擔憂

市面上的各大防毒廠商,都已經可以辨識出這支勒索軟體,詹鴻基表示,只要使用者有定期更新病毒碼,基本上就不會受到威脅,目前市面上多數的防毒軟體都已經可以偵測到這支勒索軟體,使用者無須過度擔憂,即便不慎點選惡意連結,防毒軟體也會偵測到,讓它無法安裝。

CryptoLocker大約出現在今年9月,在各大防毒公司都還沒有更新病毒碼時,對美國企業造成不小的傷害。

也因此,各大防毒廠商部落格、網路論壇等,紛紛出現如何解毒或是解密檔案的討論串、文章,美國一個擁有16萬以上註冊會員的免費電腦技術支援網站BleepingComputer,甚至整理了CryptoLocker常見問答集,幫助受害者因應。

受害後盡快切換網路連線,檢查交換器流量,縮小受害範圍

一旦察覺電腦被CryptoLocker感染,必須先隔離該臺電腦,中斷網路連線,防止CryptoLocker進一步加密其他檔案。接著須徹查有多少臺電腦受到感染,但是,除非受害者察覺檔案被加密,主動回報之外,在大型的網路架構下,要徹查是相當困難的。

資訊人員亦可檢查交換器上每個網路埠的流量,若是有其中某幾個網路埠流量異常過大,就可縮小檢查受感染電腦的範圍,因為,CryptoLocker執行檔案加密時,會佔住網路連線,拖慢網路連線速度。

確認過電腦檔案有備份,或是已經採取任何檔案復原措施之後,可使用微軟Safety Scanner或是防毒軟體,執行完整掃描,清除惡意程式,或是乾脆選擇重灌電腦,讓電腦完全擺脫CryptoLocker的糾纏。

企業資訊人員可在閘道器上設定駭客可能連線的IP位置與網域名稱,像是93.189.44.187、gktibioivpqbot.net等等,將這些惡意的連結封阻,防止使用者連線這些網頁。

資訊人員亦可更改本機安全性原則(Local Security Policy),設定軟體限制原則,讓CryptoLocker無法執行,更可以阻止使用者打開電子郵件中的附加檔案。

BleepingComputer彙整來自各地網友或是各大網站的消息,受害者可下載一套名為ListCrilock的軟體,此軟體會產生所有被加密的檔案列表。

根據Sophos官方部落格的資訊,受害案例中,最多共有14,768個檔案被加密。

3種檔案復原方式:備份檔案、Windows內建系統還原與Shadow Exploer

企業只能利用備份檔案,復原資料,若是受害者沒有定期備份的習慣,BleepingComputer建議2種方式檔案還原方式,分別是使用Windows內建的系統還原設定,以及使用一套名為Shadow Explorer的軟體。

如果受害者電腦的作業系統是Windows XP SP2之後的版本,並且有啟動Windows系統還原設定,第一種方式可以救回被加密前的檔案,但救回的資料就不是最新版本的資料。

只要在加密檔案上按右鍵,選擇內容,在切換至「以前的版本」這個頁籤,就會顯示包含所有版本的歷史記錄。然後,受害者可選擇其中一個檔案,按下「複製」按鈕存放到另外一個地方,或是按下「還原」按鈕,取代被加密的檔案並存放在原先的位置。同樣地,這些操作也可套用來復原被加密的資料夾。

Shadow Explorer軟體則會顯示每個磁碟區中所有資料夾的名稱,以及多個還原時間點可挑選。在選定資料夾後,按下右鍵選擇輸出功能,接著選定儲存位置,就會開始還原作業。

除了從備份資料、系統還原、其他檔案救援工具,嘗試還原被加密的檔案,同時也可以從BIOS中調整系統時間,為自己多爭取些自行解密的機會。

走投無路的最後一個辦法,只好支付贖金

當嘗試過所有可能將檔案的復原方法之後,如果不幸都無效,走投無路的最後一個辦法,就是支付贖金,目前已知的付款方式分別有cashU、Ukash、MoneyPak vouchers和虛擬貨幣Bitcoin。以虛擬貨幣Bitcoin來說,交易資訊以加密、P2P網路的型式傳送,而且沒有中央管理機構來管理,具有極高的匿踪性,就算是尋警方管道,也難以追查贖金的流向。

一旦支付贖金後,CryptoLocker會開始解密程序。根據已經支付贖金的受害者在BleepingComputer上所分享的資訊,駭客大約花3~4小時來確認收到贖金,確認無誤後,就會開始解密,解密時間依據資料量而定,長短不一。

有些防毒軟體會在CryptoLocker執行加密過程時,自動移除CryptoLocker,導致受害者沒有管道能夠支付贖金。不過,CryptoLocker被移除後,會在桌面上留下一個夾帶下載連結的訊息,告訴受害者可從這個網址取得CryptoLocker程式,重新安裝以執行解密。

人才是資安最大風險,企業應加強宣導,強化資安意識

駭客利用使用者容易受騙上當的心態,透過社交工程入侵企業,散播CryptoLocker,挾持受害者電腦內的資料,換取贖金,造成人心慌慌。可見,「人」才是企業資訊安全最大的風險,最容易變成惡意程式的引渡者。

詹鴻基表示,針對此種勒贖程式,最好的方式是宣導員工的資安觀念,提高資安意識,來源不明的寄件者或是附件不要開啟,定期做好備份檔案,企業用戶的病毒碼、作業系統、軟體,一定要更新到最新的版本,才可以將影響降到最低。

由於CryptoLocker會搜尋網路上所有相關的檔案,使用者必須重新檢查同步資料的權限,只需要開啟閱讀的權限,無需開啟寫入,這樣一來,惡意程式也無法進行任何的破壞行為。

此外,切記不要賦予使用者帳號特權管理者的權力,否則,一旦惡意程式獲取使用者的帳號密碼,就代表它能夠在硬碟、網路等任何地方通行無阻,為所欲為。

不僅僅面對CryptoLocker該如此,面對任何的駭客攻擊、惡意程式都應該如此,培養良好的使用習慣,搭配企業的資安防護措施,相輔相成才能將威脅降至最低。文⊙張景皓

嘗試系統還原功能
受害者若是有開啟微軟的系統還原功能,可找到舊版本的檔案,進行還原。圖片提供/微軟

檔案救援軟體Shadow Explorer
受害者若是沒有開啟微軟的系統還原功能,可下載Shadow Explorer嘗試還原舊版本的檔案。圖片提供/Shadow Exploer


史上最狠毒勒索軟體CryptoLocker 應變自保懶人包

危害程度:
● 每臺被駭PC索價9千元贖金
● 3天內不付錢,檔案永遠救不回來
● 一旦被駭,目前沒有可行的解法
● 1臺PC受駭,可能全公司網路檔案全遭殃
● 因加密共享文件而占用頻寬,內網變超慢
 

自保方法
1. 不要開啟來路不明的郵件與附件檔
2. 不要瀏覽不安全的網站
3. 立即更新防毒軟體
4. 立即執行防毒軟體掃描
5. 立即備份檔案,並確保備份檔與電腦隔離(或將備份檔改成唯讀狀態)
6. 限縮檔案分享權限、只開放必要文件或目錄可讀寫,其餘檔案均唯讀
7. 落實資料備份
8. 定期更新作業系統、瀏覽器和防毒軟體
9. 定期更新常用軟體,如Office、Flash Player、PDF軟體、Java等
 

被駭後的緊急應變措施
1. 立即切斷受駭PC的網路,避免災情擴大
2. 清查內網其他電腦,並採取自保措施
3. 受害電腦先不掃毒或移除病毒,以免日後無法解密
4. 先搶救還沒被加密的檔案
5. 若有備份,開始復原檔案
6. 評估受害災情,決定是否付贖金取得解密金鑰
7. 用新版防毒軟體清除勒索軟體,或乾脆重灌電腦
資料來源:iThome整理,2013年10月


對抗CryptoLocker的10種方法

發生資安事件,除了立即設法因應之外,更重要的是事後的資安鑑識。企業或個人不能只解決眼前的問題,更應該必須了解為什麼受害,駭客的操作手法為何,找出防禦體系中,仍存有什麼漏洞。找出漏洞後,研擬對應的防護計畫,回饋防禦體系,藉此才能提升資安防護能力,未來才更能抵擋駭客的入侵。

這次面對CryptoLocker也是一樣,就算只有一臺重要電腦受害,就有可能造成企業內部檔案無法使用,更嚴重的話會導致企業業務無法順利執行。企業平時應該做好以下10個措施,日後才能防範未然。
1. 養成定期備份資料的習慣。
2. 安裝防毒軟體,並且定期更新病毒碼。
3. 確保作業系統或是任何軟體都更新到最新版本。
4. 安裝最新版瀏覽器,並確認相關套件都是最新版本。
5. 不要亂上來路不明的網站,例如色情網站、下載網站等等。
6. 不要點選未知寄件者寄來的信件與夾帶檔案。
7. 企業應該設置可過濾垃圾郵件或是電子郵件病毒的防護措施。
8. 使用Windows 7作業系統的使用者,可開啟系統還原;Windows 8以上的使用者,可開啟檔案歷史記錄。
9. 需要分享的資料的,僅開啟必要的權限。
10. 不要賦予使用者帳號特權管理者的權力。
資料來源:iThome整理,2013年10月


哪些防毒軟體可防護CryptoLocker?

惡意程式CryptoLocker會加密個人電腦的資料,得付贖金才能取得解密的私鑰,都讓大家感到惶惶不安。根據調查,目前在臺灣20多種常見防毒軟體的最新版本,都已經有能力偵測CryptoLocker,可防止電腦被植入惡意程式。

由於CryptoLocker惡意程式在臺灣已經出現新型態的變種,為了避免防毒軟體降低對新版變種惡意程式偵測率,要確保個人電腦安全,仍應持續更新防毒產品到最新版。

資安廠商 可偵測的版本 惡意程式命名 用戶端產品 閘道端產品
個人版防毒軟體 企業版防毒軟體 防毒牆 防垃圾郵件 網頁 過濾合式威脅防禦(UTM
AntiVir
(小紅傘)
最新版(註1) TR/Fraud.Gen2      
Avast 最新版(註1) Win32:Ransom-AQL [Trj]        
AVG 最新版(註1) Ransomer.CEL      
BitDefender 最新版(註1)  Gen:Variant.Kazy.243236      
Check Point 2013/9/29後(R75.40版後) Trojan-Ransom.Win32.Blocker.cfwh        
ClamAV
(開源防毒)
最新版(註1) Win.Trojan.Cryptolocker          
Commtouch 最新版(註1) W32/Trojan.BXXK-0690      
Comodo 最新版(註1) Worm.Win32.Ransom.CryptoLocker.~      
DrWeb 最新版(註1) Trojan.Encoder.304      
ESET NOD32 2013/9/7後 Win32/Filecoder.BQ        
Fortinet 最新版(註1) W32/Filecoder.BQ      
F-Secure 2013/9/16後 Gen:Variant.Kazy.243236    
GData 最新版(註1) Gen:Variant.Kazy.243236        
Kaspersky 2013/9/24後 Trojan-Ransom.Win32.Blocker.cfwh        
Microsoft 2013/9/10後 Trojan:Win32/Crilock.A        
Panda 最新版(註1)  Trj/Ransom.AZ    
Sophos 2013/9/10後 Troj/Ransom-ACV      
Symantec 2013/9/13後 Trojan.Ransomcrypt.F      
TrendMicro 2013/10/10(註2) TROJ_CEEINJECT.EA或TROJ_CRILOCK.AF    
Webroot 最新版 未提供      
Websense 最新版 未提供        

資料來源:iThome整理,2013年10月
註1:因業者未提供確切可偵測CryptoLocker的版本,我們參考2013年10月22日VirusTotal網站中,各家防毒產品對CryptoLocker的偵測結果。該網站共有47家防毒廠牌,有40家可以偵測到CryptoLocker,也都是臺灣常見的資安防護廠牌。
註2:由於臺灣已經出現CryptoLocker變種,趨勢科技於10月10日再推出針對新變種惡意程式的病毒特徵碼。

馬上按讚加入iThome FB粉絲團

Advertisement

更多 iThome相關內容