9月初,一隻名為CryptoLocker的勒索軟體(Ransomware)開始出現蹤跡,它會悄悄地將受害者電腦裏的檔案加密,讓使用者無法開啟檔案,也沒辦法破解加密,藉此勒索9,000元(300美元)的解密贖金。

一個月之後,CryptoLocker的攻擊範圍開始擴大。全球各地自10月起陸續湧出災情,受害者越來越多,國外媒體甚至估計有上百萬臺電腦淪陷。

有些受害的企業,因為多臺電腦一起被攻擊,以至於許多重要檔案一夕間都無法使用,面臨要付贖金給惡棍或是放棄檔案的兩難。

在無國界的網際網路世界中,臺灣也無法倖免於難。10月中旬開始有企業受害的事件浮現,也有不少人透過網路反應遭遇CryptoLocker攻擊。資安廠商趨勢科技在這段時間也接獲將近20家企業通報受害,趨勢科技資訊技術顧問簡勝財表示,其中包括高科技業、傳統產業、運通業等公司,而受害電腦的數量大約在1至5臺不等。

CryptoLocker是透過典型的社交工程來散播惡意程式,像是釣魚信件、聊天工具或惡意網站等。釣魚信件則是仿冒成知名的物流或是金融公司,如FedEx、UPS、DHC等,並夾帶暗藏惡意軟體的壓縮檔附件,附件檔的名稱還刻意偽裝成「xxxxxxxx.pdf.exe」,因作業系統隱藏副檔名的緣故,讓使用者誤以為是PDF文件檔,點選附件檔案而感染電腦。

一旦電腦中毒之後,CryptoLocker會自行複製到作業系統的「%AppData%」目錄下,以亂數命名檔名,讓人不易察覺,並且會在Windows的註冊檔中加入自動執行的項目「HKEY_CURRENT_USER\Software\CryptoLocker」,因而在電腦開機後即自動執行。

接著,CryptoLocker會開始搜尋網路上的C&C(Command and Control)控制伺服器。駭客為了隱匿C&C控制伺服器的蹤跡,透過動態網域產生演算法(Domain Generation Algorithm,DGA),產生一堆以亂數命名的網址名稱,如「qwmgiyhuklldlw.com」、「ppdnpqqknffpbb.biz」等毫無意義的網址名稱。而CryptoLocker會以此演算法搜尋網路上的C&C控制伺服器,一旦找到可以連線的伺服器,就送出用戶端電腦的識別號碼,由C&C控制伺服器據此產生加密使用的公鑰(Public Key)與私鑰(Private Key)。

解密金鑰握在駭客手裏,受害者不可能自行解密

CryptoLocker會下載加密使用的公開金鑰,並將公鑰及其他資訊儲存至Windows登錄檔中,至於私鑰則留在C&C控制伺服器。

在獲得公鑰之後,CryptoLocker便會掃描受害者電腦所連結的磁碟機,包括本機的硬碟、連結電腦的USB磁碟、網路芳鄰磁碟機、雲端硬碟、檔案伺服器的檔案等等,只要被CryptoLocker尋線找到,都有可能被加密。

CryptoLocker會搜尋數十種類型的檔案,找到欲破壞的目標檔案類型,便以公鑰進行加密,並且混用AES與2,048位元的RSA這2種高等級的加密技術,將檔案全數加密,導致檔案無法存取, 並將被加密的檔案列表儲存至Windows登錄檔中(HKEY_CURRENT_USER\Software\CryptoLocker\Files)。

在CryptoLocker完成所有檔案加密之後,受害者的電腦就會跳出要求支付贖金的勒索畫面。駭客限期3天內,必須支付9,000元贖金,否則,時間一到C&C控制伺服器就會自動銷毀可以解密的私鑰,也就代表受害者被加密的檔案,自此將無法被解密。若受害者在支付贖金時輸入錯誤金額,這個勒索軟體甚至會加快倒數計時。而付款方式則採Bitcoin虛擬貨幣,以及MoneyPak、Ukash、cashU等匿名交易機制。

CryptoLocker所採用的公鑰與私鑰的加密方式,是目前業界公認最安全的加密機制──公開金鑰架構(Public-key Infrastructure,PKI),由公鑰來加密,以私鑰來解密。只要資料保管者緊握私鑰,不要被他人取得,那麼資料的保密就有如銅牆鐵壁。多數資安專家皆表示,若要以暴力破解方式解密,不僅需要付出代價相當高的運算成本,還要花上30年才解得開密碼。在背後操縱CryptoLocker的駭客一旦掌控了解密私鑰,基本上使用者是不可能有破解的機會。

這個勒索軟體不僅狠毒,甚至非常囂張。如果使用者是在中毒之後才找到方法移除CryptoLocker惡意程式,或是防毒軟體自動移除了,在重新開機之後,電腦的桌面會立即跳出警告畫面,告知該程式已偵測到使用者解除CryptoLocker程式,而將導致無法完成解密,因為即使付了贖金要解密,還得靠這個程式與C&C控制伺服器取得私鑰,也只有CryptoLocker才可以進行解密。駭客甚至在這個警告畫面中,留下CryptoLocker惡意程式的下載網址。

除了加密受害者硬碟資料之外,不會有任何破壞

Sophos臺灣區技術經理詹鴻基表示,這個勒索軟體主要會對本機電腦裡面以及網路硬碟中的特定目標檔案類型進行加密,除此之外沒有其他的破壞行為。CryptoLocker會入侵受害電腦所連結的網路磁碟機,但惡意程式本身並不會透過內網自動散播。

也就是說,假設企業內有一臺電腦受害,那麼只要立即封鎖此電腦對外的連結,而公司內的其他使用者不要被再釣魚郵件誘騙成功,那麼損傷就可以控制在單一臺電腦的範圍。

發現受害為時已晚,資料備份有機會挽回

企業會發現被CryptoLocker破壞,通常是受害者看到電腦跳出勒索贖金的畫面,或是發現檔案無法開啟,但已經來不及搶救了。簡勝財建議,企業可以使用防毒軟體,執行全面硬碟掃描,徹查受害電腦的數量。

雖然受害者想要自行復原被加密的檔案,簡直是天方夜譚,但如果電腦的資料有備份,不論是備份軟體的備份檔、Windows Vista/7/8作業系統的系統還原設定,或是檔案救援工具,可能還有機會救回部分的檔案。

就資安公司目前所截獲的CryptoLocker釣魚郵件,內容皆為英文。或許是因為英文信,許多人因而躲過一劫。不過,趨勢科技近日察覺CryptoLocker已有變種病毒,以及透過木馬程式Zbot挾帶CryptoLocker。CryptoLocker僅會對硬碟進行加密,然而Zbot木馬程式則會竊取受害者的資料,像是網路銀行的帳號密碼。

因此企業除了必須持續更新防毒軟體更新,以取得最新的保護之外,也得提防駭客有可能接下來以中文釣魚郵件發動攻擊。

臺灣政府和學術單位目前沒有受害案例

除了企業受害之外,行政院國家資通安全會報表示,目前還沒有接到政府單位受害的通報,另外,負責教育學術網路資安防護計畫的臺灣學術網路危機處理中心,在截稿前亦尚未接獲學術單位的通報。

探究企業或是個人受害的案例,可以發現,駭客利用人當作惡意程式的引渡者,企業除了購買資安設備,設置防禦體系之外,更重要的是加強宣導,提升員工的資安意識,養成定期備份與良好的電腦使用習慣,否則,再昂貴的設備面對CryptoLocker這般狠毒的勒索軟體,都形同虛設。文⊙張景皓

 

透過釣魚信件滲透企業
駭客利用釣魚信件夾帶惡意附件,一旦使用者誘騙上當,點選了惡意附件,CryptoLocker就會開始啟動。圖片提供/趨勢

亂數檔名不易被察覺
CryptoLocker啟動後,會安裝在Documents and Settings資料夾裡,並隨機產生檔名自動啟動。圖片提供/Sophos

加密檔案存放位置
CryptoLocker連結C&C控制伺服器下載加密金鑰,被加密的檔案會連同金鑰存放在HKEY_CURRENT_USER\Software\CryptoLocker\Files。圖片提供/趨勢

行為囂張,被刪除還會警告

CryptoLocker就算在加密過程被防毒軟體刪除,還會在桌面跳出警告畫面,告訴受害者哪裡可下載CryptoLocker,行為非常囂張。圖片提供/趨勢

 

CryptoLocker勒索軟體入侵電腦過程

今年9月,勒索軟體CryptoLocker現蹤全球,主要是透過釣魚信件入侵受害者電腦。10月21日,趨勢科技則發現了CryptoLocker也會結合其他惡意程式入侵,像是Zbot。

新型態的入侵方式仍是採用釣魚信件夾帶惡意附件,不過,惡意附件會先去下載Zbot惡意程式,並不是直接下載CryptoLocker。植入Zbot惡意程式後,會自動下載CryptoLocker,CryptoLocker再連回C&C中繼站取得加密公鑰,利用RSA和AES技術加密受害者電腦中的檔案,完成後跳出勒索贖金畫面。

至於Zbot惡意程式則會竊取受害者的個人資料,例如網路銀行的帳號密碼等。


資料來源:趨勢科技,iThome整理,2013年10月


快速了解CryptoLocker與應變自保之道

出現時間:今年9月

運作模式:透過社交工程誘騙使用者,受騙上當後,加密硬碟中與網路上所有關聯性檔案,拖垮網路連線速度,加密完成後隨即要求贖金

加密技術:2048位元的RSA與AES混用

贖金支付方式與期限:3天內,透過Bitcoin、cashU、MoneyPak、Ukash等管道支付約9千元臺幣

攻擊檔案類型:*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2 *.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx

解密方式:受害者無法自行破解,若無備份檔案,僅能支付贖金,駭客解密時間依據檔案數量大小,長短不一

受害後的應變之道:
1. 立即切斷網路連線,避免CryptoLocker拖垮網路連線速度,繼續加密未完成的檔案
2. 尋找有無備份檔案,若是沒有備份,可透過Windows內建的系統還原設定、Shadow Explorer軟體嘗試還原先前的版本
3. 檔案還原完成後,利用使用微軟Safety Scanner或是防毒軟體,執行完整掃描,清除惡意程式,或是乾脆選擇重灌電腦,擺脫CryptoLocker糾纏。

自保之道
1. 隔離受害電腦,在閘道器上設定駭客可能連線的IP位置,禁止連線至這些地方
2. 更改本機安全性原則(Local Security Policy),讓CryptoLocker無法執行,更可以阻止使用者打開電子郵件中的附加檔案。
3. 加強宣導員工的資安觀念,提高資安意識
4. 培養資料備份與良好的使用電腦習慣,來路不明的寄件者或是附件,千萬不要開啟
5. 病毒碼、作業系統、軟體定期更新,落實掃毒
6. 同步資料的權限僅開啟閱讀權限
7. 不要賦予使用者帳號特權管理者的權力

資料來源:趨勢、賽門鐵克、Sophos、Bleeping Computer,iThome整理,2013年10月


3分鐘認識勒索軟體

勒索軟體CryptoLocker逞兇,造成臺灣企業不小的威脅,讓人感覺這好像是新型態的威脅,但其實勒索軟體就是惡意軟體的一種,更已經存在了24年之久。

勒索軟體可細分成採取加密作法和非加密作法的勒索軟體,但不論是否會加密受害者電腦資料,勒索軟體的運作模式就如同現實生活中的勒索案一般,綁架的對象從人換成電腦,但同樣都會向受害者要求支付贖金,才會釋放電腦的使用權,或是幫你解開被加密的資料。艾斯酷博科技首席資安研究員邱銘彰表示,勒索軟體大都是俄羅斯集團所撰寫的。

最早被駭客用來賺錢,並採用加密方式的勒索軟體,可以追溯至1989年,由Joseph Popp博士開發的PC Cyborg特洛伊木馬程式。受害者被感染後,該軟體會以某些軟體的使用期限已過當成威脅條件,加密硬碟上所有資料,要求受害者向PC Cyborg組織支付189美元,才會解開鎖定的系統。Joseph Popp宣稱這些贖金將會用來支持AIDS研究。

而採取非加密作法的勒索軟體,是在2010年8月被發現的,名為WinLock,是由一位俄羅斯駭客撰寫。受害者電腦被感染後,系統會遭到鎖定,畫面跳出色情圖片,若是受害者想要解除電腦鎖定,必須發送特級SMS簡訊(Premium-rate SMS,大約美金10元),才會解開鎖定。WinLock在俄羅斯與鄰國之間大量肆虐,藉此獲得超過1,600萬美元的不法金額。

不論是加密式或非加密式的勒索軟體,通常都是透過社交工程入侵企業或是個人電腦,像是釣魚信件、Skype等,或是隱藏在惡意廣告連結、或是合法網站內,當受害者瀏覽網站時,勒索軟體就會入侵受害者電腦,開始破壞。

而駭客更利用許多作法來提高受害者支付贖金的機率,像是在勒索贖金的畫面,假冒當地執法機構,告訴受害者必須支付贖金,原因是他們在網路上犯罪了;或是直接在畫面上放置受害者的大頭照,讓受害者感到不安。

勒索軟體雖有24年的歷史,不過到了近2年,勒索軟體的數量卻大幅成長。

根據McAfee發布的2013年第二季安全威脅報告,可以發現勒索軟體在今年大量出現,2012年第四季被發現的勒索數量不到10萬支,今年第一季則增加至15萬支,第二季更成長至32萬支,數量呈現倍數增長。

由統計數據可發現,駭客越來越熟悉如何操作勒索軟體,雖然勒索軟體不像病毒會大量擴散,但因為凶狠的行為,仍造成企業或是個人在資安防護上的新挑戰。

根據賽門鐵克的研究,未來,勒索軟體將會侵襲行動裝置。使用者必須加強自己的資安意識,養成良好的電腦使用習慣,才能降低勒索軟體的威脅,否則在嚴密的資安防護措施都是白搭。


勒索軟體會假冒當地執法機構,利用話術藉此提高受害者支付贖金的機率,就連美國司法部和FBI都曾被駭客冒用。


Advertisement

更多 iThome相關內容