圖片來源: 

iThome

在2013年引發全球恐慌的勒索軟體CryptoLocker,在2014年6月遭到各國警方聯手破獲後,近期又有資安公司發現新的變種勒索軟體肆虐,採用更加在地化及客製化的手法,誘使使用者點擊電子郵件中的惡意連結或執行附加檔案,這樣的手法,比起CryptoLocker全球只有使用單一的英文版本,各國民眾受駭範圍更廣,已經陸續傳出有澳洲、義大利、荷蘭、英國、土耳其和日本等國的災情。

目前新的變種勒索軟體有不同的命名,資安公司ESET則命名為TorrentLocker,也是目前最被普遍看到的名稱;另外由賽門鐵克命名的勒索軟體TorLocker,則是TorrentLocker的新變種。

這次發現新變種的勒索軟體,主要鎖定攻擊歐洲國家,包括:英國,澳洲,加拿大,捷克共和國,義大利,愛爾蘭,法國,德國,荷蘭,紐西蘭,西班牙和土耳其等,目前沒有發現針對美國發動攻擊,但在賽門鐵克針對TorLocker的研究報告中則發現,該款勒索軟體中,首度發現有駭客使用日本本土文字集,預計針對日本民眾發動攻擊。

TorrentLocker歐洲澳洲受駭廣,攻擊手法本土化

ESET表示,最早在2014年2月就曾經發現TorrentLocker的蹤跡,大量擴散後,目前TorrentLocker已經感染了39,670臺個人電腦,加密近2.85億個檔案文件。在這些受害者中,ESET也發現,在將近4萬臺受駭電腦中,有大約1.45%的受駭者支付贖金給駭客,支付贖金的比例雖然不高,但支付的贖金金額卻很高,平均介於29.3萬美元和58.5萬美元之間。不過,因為駭客使用的AES加密演算法有瑕疵,就算付錢不見得都可以順利解開密碼。

該公司發現,TorrentLocker透過社交工程郵件散布,但和以往的差別在於,該款勒索軟體開始利用當地國家在意的議題,例如還未支付的帳單、發票、超速罰單、追蹤包裹系統等,誘使使用者點擊垃圾郵件的附件後被植入惡意程式,或者是點擊惡意連結下載惡意程式。「這是一個相當本土化的攻擊手法。」ESET說道。

早在今年9月~10月之間,義大利已經陸續傳出有不少地方政府或部門的重要文件,被勒索軟體加密,為了取回加密文件,平均支付400歐元的贖金。像是,義大利地方政府的安全數位鑑識委員會諮詢小組已經在10月中,員工被迫支付400歐元(約1.4個比特幣)以取回被惡意程式加密的文件。

在英國,則有2,300臺電腦受駭,超過3千萬檔案文件被加密,主要鎖定中小企業,而支付贖金的約有210人,平均支付400英鎊~650英鎊之間。不過,若在駭客規定的付款期限內(平均2~4天)支付贖金的話,竟然還打5折。顯見,駭客利用勒索軟體加密檔案的目的就是為了有利可圖。

不過,ESET發現,這次勒索軟體加密將近2.85億個檔案,除了利用社交工程發送垃圾郵件,誘使使用者點擊偽裝成文件的執行檔外,但在澳洲,更常見的情況卻是,駭客預先購買與澳洲郵政類似的網域發送電子郵件,更增加民眾點擊郵件的可信度。

此外,被植入惡意程式的電腦,也會蒐集受駭者電腦中的電子郵件通訊錄後,再以受駭者的身分對外發信,同樣也加深社交工程郵件的可信度。

首度出現勒索軟體中有日文文字集

除了歐洲和澳洲陸續傳出受駭案例外,賽門鐵克更首度發現,新變種勒索軟體TorLocker開始使用日本本土的字型符號,由於日本即將有一周的新年假期,推測駭客開始鎖定日本地區民眾,預計在新年期間發動攻擊。賽門鐵克表示,TorLocker有一個客製化的控制介面,可以將敲詐來的贖金傳送給攻擊的駭客。

賽門鐵克進一步研究攻擊手法,TorLocker利用部落格作為散布勒索軟體的管道,遭攻陷的部落格則利用網站漏洞,透過攻擊套件將勒索軟體傳送給不知情的網路使用者。此外,該勒索軟體也會利用偽造的更新軟體Adobe Flash Player或者是受駭的檔案,進一步加密使用者電腦中的檔案,並會顯示警告視窗,勒索贖金4萬~30萬日圓,才能將加密的檔案解密。

相較於TorrentLocker並沒有針對美國發動攻擊,賽門鐵克發現,變種的TorLocker則是鎖定美國、日本和部分歐洲國家為主,其中,美國受駭電腦比例超過3成(33%),其次為日本(11%)、英國(9%)和印度(9%),臺灣尚未在這波攻擊中傳出災情。

檔案被駭客加密無法自救,平常勤備份才是王道

勒索軟體利用各種手法入侵使用者電腦後,就會把各種格式的檔案加密,不論是採用哪種加密演算法,因為加密私鑰存放在駭客手中,使用者很難自行將檔案解密。

但是,勒索軟體要能夠入侵個人電腦,使用者電腦本身一定有漏洞可供駭客利用,賽門鐵克便建議,要降低被勒索軟體鎖定的機會,包括作業系統、瀏覽器及其外掛程式等,一旦有更新程式釋出,一定要第一時間升級,以確保作業系統以及瀏覽器的安全性。

再者,基本的電腦防護軟體是必要的,最好能夠讓使用者檢視瀏覽的網址是否為惡意連結,檢查下載的檔案是否為執行檔或惡意程式。但是,頻繁的定期備份習慣才是王道,一旦使用者電腦不幸被植入勒索軟體,備份習慣可以降低損失資料的風險。不過,所有的資安專家都建議,不要屈服於駭客的勒索,一旦支付贖金取回加密檔案,都可能讓駭客食髓知味,助長網路犯罪風氣。

如果,使用者發現電腦已經已經被植入勒索軟體,當務之急就是儘快切斷該臺受駭電腦的網路連線,除了避免勒索軟體拖慢網路連線的速度外,也可能有機會阻絕駭客繼續加密還沒有完成加密的檔案。另外,除了備份外,也可以善用作業系統內建的系統還原機制,像是微軟內建的系統還原設定,或者是利用Shadow Explorer等還原軟體,將電腦還原成先前的正常版本。

只不過,使用者一定要意識到,不論是檔案備份或者是系統還原,該臺電腦都是受駭電腦,完整的安全掃描以清除惡意程式或重灌,都是必要的。

其餘的建議還包括,隔離受駭電腦,在閘道器端設定駭客連線的IP位址,禁止其他電腦也連上這些惡意連結;也可以設定使用者不許打開有問題的郵件附檔,也無法連上有問題的網站。

 

支付駭客贖金比例不到1.5%

 

勒索軟體TorLorker以日文內容,要求受駭者支付贖金。這是少見勒索軟體本土化的設計介面。


Advertisement

更多 iThome相關內容