基本介紹
- 軟體名稱:CryptoLocker
- 軟體平台:Windows
- 更新時間:2013年
- 軟體語言:英語
- 類型:勒索軟體
- 領域:網路安全
簡介,運作,軟體危害,防災與解災,免疫方法,
簡介
CryptoLocker是一種於2013年下半年出現的特洛伊木馬,以勒索軟體的形式出現的惡意軟體,以Microsoft Windows作業系統為主要攻擊目標,所派生的變種也向Linux等作業系統及特定廠牌的網路存儲設備(NAS)攻擊。CryptoLocker會偽裝成一個合法的電子郵件附屬檔案或.exe格式檔案;如果被活化,該惡意軟體就會使用RSA公鑰加密與AES秘鑰的形式,加密本地與內部網路的特定類型檔案;而私人密鑰則把持在惡意軟體所控制的伺服器上。該蠕蟲會顯示一則訊息,表示如果在規定的期限進行付款(經由比特幣或其他儲值管道),就能夠解密這些檔案,否則私人密鑰將會被銷毀,再也不能打開這些檔案。如果該期限不匹配,該惡意軟體還會提供一個由惡意軟體控制的線上服務提供解密,但要付出高額的比特幣。
即使CryptoLocker本身很容易清除,但是這些已經被加密的檔案,對於研究者而言是無法被解開的。部分研究者認為如果不付款給勒索者,就沒有其他方法能夠解密這些檔案;另外的研究者則說付款給勒索者是唯一能在不備份的情形下,讓檔案解密的方法。
運作
CryptoLocker通常會以電子郵件附屬檔案的類型,包裝成一個看似無害的電子郵件(通常使用合法公司的電子郵件外觀)進行傳送,或是經由殭屍網路傳送。所附上的ZIP檔案格式包含了一個可執行的檔案,通常是使用偽裝的PDF檔案附檔名與檔案名稱稱,利用Windows系統當中的檔案擴展名規則,掩飾真正的EXE擴展名形式檔案。部分情況下則會實際含有宙斯特洛伊木馬病毒,以進行安裝CryptoLocker。首次啟動時,有效負載會以隨機的名稱,自行安裝於我的文檔,並於註冊表登錄一個編碼,會導致於引導時啟動。然後,該惡意軟體會嘗試連線被勒索者所控制的伺服器與指令,一旦成功連線,該伺服器就會產生一個2048位的RSA加密密鑰配對,並且提交公開密鑰到被感染的計算機。該伺服器可能是一個本地代理伺服器或其他的代理伺服器,會頻繁地在不同國家間進行重定位,增加追蹤的困難度。
該有效負載會將整個硬碟與相連結的網路硬碟中的檔案,利用公開密鑰進行加密,並將檔案加密的紀錄送入一個登錄碼。這個過程中,僅會將特定附檔名的數據檔案進行加密,例如Microsoft Office、OpenDocument與其他的檔案、圖像與AutoCAD檔案。有效負載接者會顯示一則訊息,告知用戶檔案已經被加密,並必須經由預儲值管道(如MoneyPak或Ukash)支付300美元或歐元,或是2比特幣,才能解開這些檔案。付款動作必須在72至100小時內完成,否則私人密鑰將會在伺服器端摧毀,並且“將永遠沒有人能打開這些檔案。”勒索付款後,會允許用戶下載一個解密程式,然後預載用戶的私人密鑰。
2013年11月,CryptoLocker的操作者開放了一個線上服務,允許用戶不用CryptoLocker程式就能解密檔案,並且必須於截止時間前下載解密密鑰;這個過程包含了將解密檔案樣本上傳到惡意軟體的網站,然後在24小時內,網站會依據請求,查找匹配的密鑰。一旦匹配成功,用戶就能夠進行線上付款;如果72小時的期限已過,付款價格將會增長到10比特幣(在2013年11月上旬,換算匯率為超過3500美元)。
軟體危害
CryptoLocker利用郵件、聊天工具、殭屍網路以及被黑客攻擊的網站進行擴散,所有訪問者都將被安裝該軟體。軟體安裝之後會立即運行,並自動加密所有能夠找到的文檔檔案(包括可移動設備上的數據),鎖定計算機螢幕,要求用戶付費解除加密。CryptoLocker通過微軟提供的私人高級加密技術(RSA)進行加密,該算法提供的私鑰掌握在黑客手中,如果黑客72或100小時內沒有收到匯款(根據軟體設定時間確定),則黑客可以銷毀該密鑰,損失的數據將永遠無法找回。
防災與解災
安全軟體可能無法偵測到CryptoLocker,或只能在解密進行或完成後才會被偵測到。如果該攻擊能在早期被起疑或偵測到,該惡意軟體有時只會加密一小部分的檔案;立即清除該惡意軟體(這本身就是一個相對簡單的程式)理論上可以降低數據的傷害數量。專家建議的預防方式,包含使用軟體或其他安全策略,阻擋CryptoLocker的有效負荷完全被占據。平常勤於備份重要檔案,並離線、異地存儲,使得檔案遭勒索軟體加密後,尚有機會可從備份還原。
由於該檔案的操作性質,一些專家坦承支付給勒索者是在缺乏備份還原(尤其是不經由網路連線下的離線備份,或是從連續數據保護系統的備份進行還原)下的唯一方式。由於密鑰的長度是由CryptoLocker所操縱,可以預見地,這些被加密的檔案無法暴力破解,在不付款的情況下解密檔案;相似的例子為2008年的蠕蟲病毒Gpcode.AK,使用的是1024位的加密,相信這個加密程度太大,導致無法以分散式計算,或是發現漏洞的方式打破加密的內容。賽門鐵克估計至少3%被感染的用戶會採用付款方式解決。
2013年10月下旬,卡巴斯基報告其DNS陷阱已經創建完成,可以在部分域名用戶接觸到CryptoLocker時進行阻擋。
免疫方法
用戶可以通過以下方法免疫CryptoLocker的攻擊:
1.安裝禁止硬碟和壓縮檔案的軟體。
2.控制共享驅動器的許可權,限制可以進行修改的用戶。
4.設定每台PC的軟體管理工具,防止Cryptolocker和其他可疑程式訪問某些關鍵目錄。
如果有已經被加密的資料,可以嘗試提交到一些安全專家建立的專門解密網站解密。