面對(加密)勒索軟體,什麼是該做? 什麼是不該做?
Date:2016-03-19
勒索程式的危害? 已被勒索軟體加密? 我可以拿回檔案嗎? 可以打開加密檔嗎? 如何防範勒索軟體? 勒索程式的簡短歷史 簡介
 
數位勒索:勒索程式的簡短歷史
作者 / Peter Coogan 摘自 ISTR 20(賽門鐵克網路威脅研究報告第20期-2014一整年)
 

2014年,加密勒索程式是新聞常客,在持續進行的勒索程式長篇故事中,已經成為最新且最致命的趨勢。加密勒索程式不同於標準的勒索程式,不再只是簡單鎖住裝置,而會更進一步加密淪陷裝置中的檔案,在很多案例中,會讓受害者再也無法挽回資料。無論是加密勒索程式及勒索程式,都是要讓企業付出贖金才能解除感染。

這類型的惡意軟體其實已經出現十幾年了,但最近這幾年快速成長,結果就是讓網路罪犯由假防毒軟體(FakeAV)的製作,轉向有利可圖的勒索程式,然後再進階到加密勒索程式,惡意軟體的作者們總是不會停下腳步。我們可以清楚看到威脅版圖已經出現了新的領域,數位勒索正在流行。

假防毒軟體(又稱為FakeAV或流氓安全軟體),會以詐欺手段誤導裝置,或是誤導用戶付款來移除惡意軟體。這類軟體已經存在很長一段時間 -流行的高峰在2009年,賽門鐵克當時觀察到,共有4,300萬流氓安全軟體安裝在250種不同的程式中,而人們會以30到100美元來購買這些軟體。

勒索程式是一種惡意軟體,會鎖住受感染電腦並拒絕存取。惡意軟體接下來會顯示勒索訊息,運用社交工程方式命令支付贖金才會移除限制。在2012年,賽門鐵克報告指出勒索程式威脅升高,想要移除限制,在歐洲會勒索50到100歐元贖金,美國則是200美元。

現在,在惡名昭彰的Trojan.Cryptolocker出現於2013年後,惡意軟體作者更將他們的注意力轉移到加密勒索程式威脅,讓整合創新技術、平台及逃避戰術的加密勒索程式出現在2014年,新舊手法都在從受害者身上撈錢。

2014年最賺錢的加密勒索程式是Trojan.Cryptodefense (又稱 Cryptowall)。這項威脅出現於2014年2月底,最初被作為Cryptodefense推出。它運用了Tor及比特幣技術來進行匿名,同時還有強大的RSA-2048資料加密,以及迫使受害者付錢的壓力戰術,一開始的勒索金額是500歐元及美元。

如果付款沒有準時的話,很快就會增加到1,000歐元及美元。根據分析,由於該惡意軟體的作者疏於執行加密功能,把金鑰留給了人質讓他們可以自行逃脫,也就是說把私人加密金鑰留在系統裡了。在這項資訊公開後,這個問題馬上就被惡意軟體作者修補,同時改名稱為Cryptowall。之後,Cryptowall就持續被改良,擁有特權漏洞評估、反分析檢查功能,甚至還使用了I2P(Invisible Internet Project)來進行通訊匿名。Crytowall的已知獲利至少是每個月34,000美元,研究人員估算在那六個月期間,它至少賺取了100萬美元。

Windows個人電腦是勒索程式作者最有利可圖的領域,案例持續增加中。但是在2014年,攻擊者更開始針對新的平台進行數位勒索,我們看到了Reveton推出了Android勒索程式,就是已知的Android.Lockdroid.G (又稱為Koler) 。透過使用TDS(Traffic Distribution System),Reveton會執行三管齊下的勒索程式攻擊,根據特定的情況需求執行,例如瀏覽器會被用來檢閱由罪犯所控制的網站,流量會被引導來配合勒索程式。

勒索程式開始獨立於平台,And r o id用戶會被引導下載Android. Lockdroid.G。Internet Explorer用戶會被引導到Angler Exploit套件,傳遞Trojan.Ransom- lock.G.有效載荷,以即將Windows、Linux或Mac所使用的瀏覽器引導到Browlock。其他的勒索軟體類型,會試圖鎖住電腦,簡單運用他們的網頁瀏覽器來敲詐金錢。

在2014年6月,第一個Android檔案加密勒索程式Android.Simplocker被發現。在俄國發動首波攻擊,並在2014年7月前升級到英文版本(Android.Simplocker.B) ,利用FBI社交工程主題。在2014年10月被觀察到出現Android.Lockdroid.E (又稱Porndroid ) ,再一次使用假的FBI社交工程主題。這項威脅同時也使用裝置照相機來拍照,之後即顯示勒索要求。Android.Lockdroid之後引發了多項新的變種,包含病蟲類型功能,可以透過受感染裝置的簡訊自我複製寄發給聯絡人清單,同時還搭配社交工程技巧。

勒索程式作者開始回顧過去的行動裝置,試圖找出可以勒索金錢的目標,他們了解到網路儲存設備(NAS),所以開始鎖定這項可以儲存大量檔案的裝置

Trojan.Synolocker (又稱 Synolocker) ,運用先前未知的Synology DiskStation管理軟體,鎖定Synology NAS裝置,以取得裝置存取權並加密所有檔案要求贖金。這些裝置雖然已經都更新過以預防未來攻擊,但這項案例顯示出勒索程式作者正在持續尋找新的攻擊領域。

為什麼勒索程式變動如此之快?因為勒索軟體對網路罪犯來說是有利可圖的事業,贖金的要求範圍從100到500美元不等。在2014年,我們看到比特幣付款方式,成為許多最新勒索程式的選擇。比特幣的強烈匿名性,讓網路罪犯可以輕鬆隱藏不法所得並進行洗錢

當我們觀察到新的勒索程式家族蓬勃發展時,賽門鐵克同時也看到整體成長的路徑。自2013年以來,勒索程式攻擊增加了113%,加密勒索程式擴增了45倍以上。有利可圖激勵了攻擊與新勒索程式數量的增加,不像贖金型詐騙可能很快就會掉出攻擊版圖,勒索程式未來更應該會持續成長。