一封电邮令旅行相、BB相全部「被加密」?
日期 : 2016年4月19日
机构 : 香港专业资讯保安协会 (PISA)
作者 : 范健文
近日病毒界的热门话题非加密勒索软件(Ransomware)莫属。它除了能无声无息地加密个人电脑中的档案,更可以顺藤摸瓜潜入共用伺服器,加密封锁整个公司,甚至公营机构的档案。外国已揭发部分医疗机构因被Ransomware封锁病人档案,导致日常运作及救援服务瘫痪;而本港多间学校、中小企亦屡屡传出被Ransomware入侵的个案,情况令人担忧。更重要的是,Ransomware操作者更是不论对象、只向钱看的「不法商人」。因此身为一般家庭用户的你也不能掉以轻心,不然随时可能因一封电邮而失去电脑中的珍贵档案。
什么是Ransomware?
Ransomware主要透过钓鱼电邮感染电脑,将用户电脑的档案及内联网档案加密,并要求用户支付赎金来换取解密密钥。钓鱼电邮会载有压缩档案附件 (zip 档案)-甚至一般文档(doc档案),内里包含一个伪造 PDF 文件的执行档、Java Script档案或.exe执行档。当用户打开这个执行档案,电脑便会受到感染。加密后,恶意程式会把加密密钥回传到指令及控制伺服器(C2 server),并在受感染的电脑留下勒索讯息,要求用户支付指定金额的比特币(BitCoin),以换取解密密钥,否则唯一的解密密钥将被删除。 (资料来源:香港电脑保安事故协调中心)
如何得知电脑已被Ransomware入侵?
Ransomware的害处
金钱:
非正式调查发现有29%的人认为只要低于美金$400就会愿意付钱;高于$800也有3%人愿意缴交。保安公司的调查也发现有3%人愿意付钱。
时间:
备份和洗机也需要花费技术人员的时间和人手,有公司访问了300个IT从业员,发现有72%需要两日或以上的时间修复系统。
不幸被Locky袭击后,你会收到一则讯息,要求你缴付2枚Bitcoin购买解密密码(图片由UDomain提供)
Locky设有简体中文(及其他多种语言)介面,十分「体贴」大中华客户的需要。 (图片由UDomain提供)
2枚Bitcoin的市价接近$ 6500港元,足够你买两台新电脑,况且恶徒不一定「一手交钱一手交货」,因此千万不要助长恶徒犯案。
Ransomware入侵电脑后,用家还能使用电脑吗?
部分Ransomware的软件(如Locky)只会加密档案,用家仍然可以使用作业系统,也可以正常上网(毕竟要缴付赎金)、使用其他软件:「因为他们的目的是为钱,要求的价钱也不算太高。(约为$2-4 Bitcoin)受害者可能会觉得不算昂贵,便会考虑缴付。」被加密的档案包括文档、Excel和资料夹等,因此你的功课草稿、旅行照片、珍藏片集通通不能幸免。不同骇客以盗取资料、破坏系统为目的,Ransomware的操作者目的只为求财,受害者还能使用电脑的部分功能。不过2016年3月下旬,德国出现一种名为Petya的新Ransomware,会加密电脑的Master Boot Record,令受害者未能开启电脑。虽然已有当地资讯保安公司找出解决方法,但Ransomware在数天内可以有不同变种,大家还是需要保证警觉。
影片: The Petya Ransomware - A Master Boot Record Infection (只提供英文版本)
https://youtu.be/3Ixtt8LVpTk(影片来源:BleepingComputer)
Ransomware与一般恶意程式的不同之处
相比一般电脑病毒,Ransomware对用家的技术要求不高。恶徒即使不是骇客,不懂写程式,也可以像购买服务一样「买」到勒索软件。供应商已经预备好勒索软件,只待恶徒成功后再以收取服务费的方式拆帐-例如每成功勒索一个人,便收取20%服务费,过程职责分明,已成为一盘「生意」。2015年发现一只名为Tox的勒索软件,用家不需要认识任何电脑专门知识,它就可以代你编写、修复整个程式,界面十分容易使用。 HKCERT指,更近期的版本设有不同选项,用家甚至不需懂得使用电脑。
传播途径
- 电邮附件
- 浏览网页:因为有些网站保安做得不够好,被人入侵后被加入了恶意程式码,最终可导致其他用户只浏览网站,便会受感染
- 包括常用CMS系统如Wordpress,甚至学校网站
- 网页上的广告栏位:可能是1/20的横额广告,点击后才会触发程式运行
- 手机: 按下不明连结或下载非官方软件
“Bill”、”Invoice”等都是Ransomware用作掩人耳目的常用字眼,因为很多人想也不想便会下载附件,查看帐单。(图片由UDomain提供)
一般用户为何容易受袭?
1. 专攻标题党
正所谓「骗徒手法层出不穷」,Ransomware进化至今日,伪装手法已经变得十分高明。Eric指,Locky会在电邮主旨(Subject)和内容部分包含”Invoice”、”Attachment”等字眼,降低会计或行政人员的警觉。
2. 扮Frd子
Ransomware会花上一点时间「研究」你的电邮收件匣,再模仿为你的同学、同事、上司或老板,用同样的域名传送电邮给你,行内人称为为Spoofing Attack,令人防不胜防。
3. 披着羊皮的狼
打开压缩档案附件(zip 档案)一看,你只会看见内容为一般文档(doc档案)、 PDF 文件的执行档、Java Script档案等,外表看起来不像病毒,甚至连防毒软件也未必能识破它的伪装
4. 公司内有大量连线电脑
Microsoft的代表刘耀麒又解释,假设事发地点为电脑房,恶徒入侵一部电脑后,可以得到登入用的用户名称及密码(Username/Password),然后可以不停尝试,直至找出你的「管理员」(Admin)密码或连上后台伺服器。病毒可以不停游走,只要有一名用户为个人电脑和共用资料夹设定同样的用户名称及密码,也会助病毒找到封锁全校档案的路径。
此外,职员设定「共用权限」(Share Permission)的时候可能贪图方便,直接设定为 “Everyone Full Control “,令病毒蔓延得更快。
公司或个人电脑已经安装防毒软件/防火墙,仍不足够吗?
防毒软件并非万全之策!因为:
1. Zero-day Attack
Microsoft合约服务商Adeccoh的分析师江荣林指,若技术人员仔细查看病毒的发布日期和制作日期,大概可以发现不少也是同一天出产和应用的软件;有案例甚至连担任恶意程式控制中心的域名(Domain)都是同一日创建,即恶徒在同一天内完成所有工序。由于病毒的识别码(Signature)更新得太快,防毒防毒软件过滤不了同一天出现,并进行攻击的软件,所以未能拦截。在最新3/14的样本中,有数种Ransomware也未能扫描得到。
2. 非针对网络伺服器的防毒软件
网络防毒、电邮伺服器防毒不同电脑防毒,现有防火墙未必足够。
延伸阅读
HKCERT:Locky Ransomware Encrypts Victim Data
UNWIRE.PRO:勒索软件 Locky 加速散播 HKCERT 提醒四种恶意电邮标题要小心
