裝左就玩完了的 "假加密軟件" - CryptoLocker

schmid9394

裝左就玩完了的 "假加密軟件" - CryptoLocker



近日，有一支名為CryptoLocker的勒索軟體（Ransomware）現蹤，
企業陸續傳出受害災情，該軟體透過釣魚郵件入侵，會將受害者電腦的檔案全數加密，
導致檔案無法存取，而且駭客採用高超的加密技術，讓受害者無法自行復原，
並限期3天支付 USD300元贖金，否則將毀損解密金鑰，受害者苦不堪言。



McAfee技術經理沈志明表示，被加密的檔案，因為私鑰（Private Key）掌握在駭客手裡，
基本上使用者不可能自行破解。若是真的要暴力破解，需要運算資源等代價相當高。

CryptoLocker是透過釣魚郵件傳播，使用者若是誤擊CryptoLocker程式，
電腦或是網路硬碟中若是存有CryptoLocker破壞的目標檔案類型，
這些檔案就會全數被加密，CryptoLocker使用的2種加密方式，
分別是2,048位元的RSA加密技術和AES加密技術。

schmid9394

綁架日常生活中常用的電腦檔案類型，贖金要價9千元

該惡意軟體完成加密之後，使用者的電腦畫面，就會跳出支付贖金來換取檔案解密的倒數通知，
CryptoLocker要求被害者在72小時之內，支付300美元贖金（約HKD 2,400）。
否則，只要時間一到，就會銷毀能夠解密的金鑰。



之所以會被稱為最欠扁的惡意程式，除了CryptoLocker運作模式如勒索案之外，
CryptoLocker一次綁架我們日常生活中，最常使用的檔案類型，像是微軟文件格式如
Excel、Word、PPT，以及JPG圖檔、PDF等，設想一旦公司文件、自己的照片影片全數無法開啟，
若是無法自行解密，又沒有定期備份，這些珍貴的檔案可說是一去不復返。

schmid9394

多數防毒軟體皆可攔阻，一旦受害立刻拔除網路



目前市面上多數的防毒軟體都已經可以偵測到這支勒索軟體，
使用者無須過度擔憂，即便不慎點選惡意連結，防毒軟體也會偵測到，讓它無法安裝。

根據目前已經受害的案例，資安專家們建議，一旦使用者發現電腦受到CryptoLocker感染，
第一個動作就是斷絕網路連線，盡早中斷加密程序，也可避免CryptoLocker對內網的其他電腦造成威脅。

被感染的電腦，若有定期備份，還可從備份中找到最新版的資料，若是沒有定期備份，
可嘗試使用Shadow Explorer軟體復原檔案，不過，僅能回覆部分內容，而且過程相當繁瑣費工，
這套軟體僅適用Windows XP SP2以上的版本。



為了回復檔案，受害者最後的選擇，就是支付贖金，使用者亦可從BIOS中將系統時間往前調整，
為自己爭取最後一搏的機會。根據已經支付贖金的受害者指出，駭客會在3～4小時內確認款項，
然後開始解密，解密過程則依據檔案大小、內容，所需的時間長短不一。

根據McAfee發布的2013年第二季安全威脅報告，可以發現勒索軟體在今年大量出現，
2012年第四季被發現的勒索數量不到10萬支，今年第一季則增加至15萬支，第二季更是32萬支，
勒索軟體的數量一直都很多，但從今年開始，數量呈現倍數增長的幅度。

由此可見，使用者必須更謹慎提防釣魚信件中的檔案，平常也要養成資料定期備份的習慣。

schmid9394

攻擊方式



CryptoLocker會改以亂數命名，偽裝成系統應用程式目錄下的一支程式，
並竄改開機腳本程式，讓作業系統一開機後就啟動CryptoLocker。
惡意程式植入後，會向遠端遙控主機取得加密金鑰，再以2,048位元RSA和AES加密技術，
暗中加密受害電腦內部檔案，直到完成重要文件加密後，發動攻擊，一方面佔住網路連線，
讓受害電腦無法上網，同時拒絕使用者打開加密文件，並跳出要求付贖金的勒索訊息，
限期3天，透過Bitcoin或其他匿蹤金流機制，交付贖金300美元，才能取得解密金鑰。



解密方式：
目前無法自行解密，得付贖金取得金鑰，取得金鑰後，得花3～4小時執行解密，
但也有少數檔案無法完全救回，有受害者付了兩次贖金才取得金鑰。

破壞對象：
受害電腦內Word（doc、docx）、Excel（xls、xlsx）、PowerPoint（ppt、pptx）、
JPG圖檔等近百種企業常見檔案格式。



攻擊範圍：
●不只攻擊受害電腦內的重要文件和檔案
●也會搜尋受害電腦連結的網路芳鄰、網路磁碟機、
檔案伺服器等，攻擊公司內網所有共享的文件。

危險程度：
●發出勒索信後，受害電腦無法上網，也無法開啟遭加密的文件。
●加密後，使用者無法自行復原。
●付贖金取得金鑰，也有少數檔案無法使用。
●惡意程式加密內網共享文件時，會占用頻寬，導致內網速度超慢，受害電腦效能也會大減。

schmid9394

員工個人自保方法 & 被駭後的緊急應變措施

schmid9394

為何該對惡劣綁架軟體提高警覺？



為什麼我們必須特別對CryptoLocker提高警覺？
因為打從一開始這就是一場不對等的戰爭。

一個堪稱史上最狠毒的綁架軟體──CryptoLocker，開始肆虐，橫行全球。
不論是企業或個人用戶，都必須格外注意這個綁架軟體，只要一個小心，
你就跟電腦裏的檔案說再見了，因為幾乎是沒有機會能救回被駭的檔案。



全世界都陸續傳出被駭災情，包括臺灣也有不少公司淪陷了。
被害的電腦用戶，都是看到了螢幕上自動跳出的勒索訊息才知道，
然而此時已經來不及了，因為CryptoLocker已經將電腦裏的檔案都加密，
而且還是採用超高等級的2048位元加密技術，因此檔案都無法再開啟使用。

這個綁架軟體勒索受害者9,000元（300美元），以贖回可解開加密檔案的私鑰。
而且，駭客還限時3天內完成付款，否則解密的私鑰就會自動銷毀，受害者永遠也沒有機會救回檔案了。

schmid9394

突如其來的CryptoLocker風暴，讓許多企業苦不堪言，尤其有的公司是多臺電腦一起受害，
許多重要的業務檔案都被加密而動彈不得，導致業務的進展被迫停頓。
到底該不該付上不便宜的贖金？或是還有其他的解決方法呢？
平時缺乏資安應變機制的公司，此刻一片兵荒馬亂。

根據資安專家的分析，CryptoLocker並沒有用上多麼了不起的新型攻擊技術，
但把既有的攻擊手法予以修正調整，組合起來就是一個殺傷力強大、讓人招架不住的猛烈攻擊。



CryptoLocker是利用釣魚郵件的攻擊方式來散播，引誘使用者開啟郵件的附件檔案...
也就是CryptoLocker主程式。當這個惡意程式成功在電腦上安裝後，它會開始搜尋網路上的
指揮控制中心，一旦找到了網路上的控制伺服器，CryptoLocker程式就會送出一個識別碼，
控制伺服器就會據此產出一對公鑰與私鑰，接著將公鑰傳回電腦端，
CryptoLocker程式就開始以此公鑰把電腦裏的檔案都加密，而可以解密的私鑰，則存在控制伺服器。

schmid9394

以公鑰加密，透過私鑰才能解密，這就是知名的公開金鑰架構（Public-key Infrastructure，PKI） ，
也是業界認為最安全的資料保密機制，如自然人憑證，就是採用公開金鑰的加解密機制。
但是，駭客卻利用這個原本要用來保護資料的技術，反過來箝住我們。

PKI 機制之所以安全，就是沒有私鑰就解不開密碼。駭客把私鑰握在手上，
就能予取予求，甚至限時3天內完成付款，不然系統會自動銷毀私鑰，任誰都救不回檔案了。



根據國外的報導，全球已有數百萬臺電腦受害，若受害者都匯款300美元，
那麼FBI只要循著金流的動線，很容易就可以逮到人了。然而，這群駭客狡猾多詐，
他們採取許多手法來隱匿行踪，而且顯然是高度自動化的機制。

在駭客的網路控制伺服器方面，這些伺服器所採用的網址名稱，是以演算法產生看似是亂數的網址，
我們猜測在受害電腦端的CryptoLocker程式也有相同的演算法，可推估控制伺服器的網址，
因此它就一個個嘗試，直到連結到運作中的伺服器。如此控制伺服器就可以不斷變換網址，
與CryptoLocker程式之間又能保持連結。

schmid9394

另外，更重要的贖金往來，又是怎麼隱匿行踪？畢竟這群駭客是在搶劫全球，
金額當然越多越好，然而又怎麼藏住這一大筆錢的流向呢？



原來，他們要求受害者以虛擬貨幣BitCoin付款。BitCoin的交易資訊以加密、
P2P網路的型式傳送，並非由一個中央管理機構來管理，具有極高的匿踪性。
其副作用之一，就是成為洗錢的管道。

這群駭客設計出來的勒索方法，不僅具有高度隱匿性，而且受害者總是位居劣勢，
被駭客吃死死的。即便你兩手一攤，想要付錢了事，事情可不見得就結束了，
後續會發生什麼事，還是未知數。



當你付了贖金之後，這群駭客可不是把私鑰就寄給你，而是透過CryptoLocker程式
連結控制伺服器，取得私鑰執行解密。你以為付錢就可以跟這個惡意程式說再見，
可沒那麼容易，它可還是在你的電腦裏，會再繼續做什麼事，誰也說不準。

這也是為什麼我們必須特別對CryptoLocker提高警覺，因為打從一開始這就是一場不對等的戰爭。
根本之道，就是在還沒被感染前，趕緊宣導員工資安意識，千萬不要開啟來路不明、
陌生寄件者的郵件，更忌開啟不明郵件附檔；同時，立刻檢查防毒軟體更新，
確保獲得即時的防護，以及備份電腦檔案，才不會被虎豹豺狼盯上。

schmid9394

Thanks for watching~!!

barr

十分有用的資訊,要多加提防

fatmilk555

小心骇客

拖肥糖

呢群電腦老鼠真可惡

bullet

唔好做水魚比人釣到先得~

ssgtlaikcpeter

小心！小心！網上的索馬里海盗！

schmid9394

bullet 發表於 2013-11-17 22:14

                               
登錄/註冊後可看大圖

唔好做水魚比人釣到先得~

吾系個個刀好似子彈兄咁醒架嘛^_^

四台國際CEO

schmid9394 發表於 2013-11-17 21:24

                               
登錄/註冊後可看大圖

裝左就玩完了的 "假加密軟件" - CryptoLocker

3舊水美金咁平

schmid9394

四台國際CEO 發表於 2013-11-17 22:19

                               
登錄/註冊後可看大圖

3舊水美金咁平

就系搏你吾想煩，快快科水

bullet

schmid9394 發表於 2013-11-17 22:17

                               
登錄/註冊後可看大圖

吾系個個刀好似子彈兄咁醒架嘛^_^

禾邊度醒喎, 淨係知道陌生嘅郵件咪亂開, 删咗佢就乾手淨腳~

phillip39

   認真做好備份 以防萬一