為何該對惡劣綁架軟體提高警覺？

最近這幾天，一個堪稱史上最狠毒的綁架軟體──CryptoLocker，開始肆虐，橫行全球。不論是企業或個人用戶，都必須格外注意這個綁架軟體，只要一個小心，你就跟電腦裏的檔案說再見了，因為幾乎是沒有機會能救回被駭的檔案。

全世界都陸續傳出被駭災情，包括臺灣也有不少公司淪陷了。被害的電腦用戶，都是看到了螢幕上自動跳出的勒索訊息才知道，然而此時已經來不及了，因為CryptoLocker已經將電腦裏的檔案都加密，而且還是採用超高等級的2048位元加密技術，因此檔案都無法再開啟使用。

這個綁架軟體勒索受害者9,000元（300美元），以贖回可解開加密檔案的私鑰。而且，駭客還限時3天內完成付款，否則解密的私鑰就會自動銷毀，受害者永遠也沒有機會救回檔案了。

突如其來的CryptoLocker風暴，讓許多企業苦不堪言，尤其有的公司是多臺電腦一起受害，許多重要的業務檔案都被加密而動彈不得，導致業務的進展被迫停頓。到底該不該付上不便宜的贖金？或是還有其他的解決方法呢？平時缺乏資安應變機制的公司，此刻一片兵荒馬亂。

根據資安專家的分析，CryptoLocker並沒有用上多麼了不起的新型攻擊技術，但把既有的攻擊手法予以修正調整，組合起來就是一個殺傷力強大、讓人招架不住的猛烈攻擊。

CryptoLocker是利用釣魚郵件的攻擊方式來散播，引誘使用者開啟郵件的附件檔案－－也就是CryptoLocker主程式。當這個惡意程式成功在電腦上安裝後，它會開始搜尋網路上的指揮控制中心，一旦找到了網路上的控制伺服器，CryptoLocker程式就會送出一個識別碼，控制伺服器就會據此產出一對公鑰與私鑰，接著將公鑰傳回電腦端，CryptoLocker程式就開始以此公鑰把電腦裏的檔案都加密，而可以解密的私鑰，則存在控制伺服器。

以公鑰加密，透過私鑰才能解密，這就是知名的公開金鑰架構（Public-key Infrastructure，PKI），也是業界認為最安全的資料保密機制，如自然人憑證，就是採用公開金鑰的加解密機制。但是，駭客卻利用這個原本要用來保護資料的技術，反過來箝住我們。

PKI機制之所以安全，就是沒有私鑰就解不開密碼。駭客把私鑰握在手上，就能予取予求，甚至限時3天內完成付款，不然系統會自動銷毀私鑰，任誰都救不回檔案了。
根據國外的報導，全球已有數百萬臺電腦受害，若受害者都匯款300美元，那麼FBI只要循著金流的動線，很容易就可以逮到人了。然而，這群駭客狡猾多詐，他們採取許多手法來隱匿行踪，而且顯然是高度自動化的機制。

在駭客的網路控制伺服器方面，這些伺服器所採用的網址名稱，是以演算法產生看似是亂數的網址，我們猜測在受害電腦端的CryptoLocker程式也有相同的演算法，可推估控制伺服器的網址，因此它就一個個嘗試，直到連結到運作中的伺服器。如此控制伺服器就可以不斷變換網址，與CryptoLocker程式之間又能保持連結。

另外，更重要的贖金往來，又是怎麼隱匿行踪？畢竟這群駭客是在搶劫全球，金額當然越多越好，然而又怎麼藏住這一大筆錢的流向呢？原來，他們要求受害者以虛擬貨幣BitCoin付款。BitCoin的交易資訊以加密、P2P網路的型式傳送，並非由一個中央管理機構來管理，具有極高的匿踪性。其副作用之一，就是成為洗錢的管道。

這群駭客設計出來的勒索方法，不僅具有高度隱匿性，而且受害者總是位居劣勢，被駭客吃死死的。即便你兩手一攤，想要付錢了事，事情可不見得就結束了，後續會發生什麼事，還是未知數。

當你付了贖金之後，這群駭客可不是把私鑰就寄給你，而是透過CryptoLocker程式連結控制伺服器，取得私鑰執行解密。你以為付錢就可以跟這個惡意程式說再見，可沒那麼容易，它可還是在你的電腦裏，會再繼續做什麼事，誰也說不準。

這也是為什麼我們必須特別對CryptoLocker提高警覺，因為打從一開始這就是一場不對等的戰爭。根本之道，就是在還沒被感染前，趕緊宣導員工資安意識，千萬不要開啟來路不明、陌生寄件者的郵件，更忌開啟不明郵件附檔；同時，立刻檢查防毒軟體更新，確保獲得即時的防護，以及備份電腦檔案，才不會被虎豹豺狼盯上。