CryptoLocker
CryptoLocker是一种于2013年下半年出现的特洛伊木马,以勒索软体的形式出现的恶意软体,以Microsoft Windows作业系统为主要攻击目标,所衍生的变种也向Linux等作业系统及特定厂牌的网路储存设备(NAS)攻击。CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式档案;如果被活化,该恶意软体就会使用RSA公钥加密与AES秘钥的形式,加密本地与内部网路的特定类型档案;而私人金钥则把持在恶意软体所控制的伺服器上。该蠕虫会显示一则讯息,表示如果在规定的期限进行付款(经由比特币或其他储值管道),就能够解密这些档案,否则私人金钥将会被销毁,再也不能打开这些档案。如果在期限之内,该恶意软体还会提供一个由恶意软体控制的线上服务提供解密,但要付出高额的比特币。
别名 | Crypt0L0cker |
---|---|
分类 | 恶意软体 |
感染系统 | 特洛伊木马 |
发现时间 | 2014年6月2日 |
即使CryptoLocker本身很容易清除,但是这些已经被加密的档案,对于研究者而言是无法被解开的。部分研究者认为如果不付款给勒索者,就没有其他方法能够解密这些档案;另外的研究者则说付款给勒索者是唯一能在未备份的情形下,让档案解密的方法。
运作
CryptoLocker通常会以电子邮件附件的型态,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行传送,或是经由僵尸网路发送。所附上的ZIP档案格式包含了一个可执行的档案,通常是使用伪装的PDF文件附档名与档案名称,利用Windows系统当中的文件扩展名规则,掩饰真正的EXE副档名形式档案。部份情况下则会实际含有宙斯特洛伊木马病毒,以进行安装CryptoLocker[1][2]。首次启动时,有效负载会以随机的名称,自行安装于我的文件,并于登录档登录一个编码,会导致于开机时启动。然后,该恶意软体会尝试连接被勒索者所控制的伺服器与指令,一旦成功连接,该伺服器就会产生一个2048位元的RSA加密金钥配对,并且送出公开金钥到被感染的电脑[1][3]。该伺服器可能是一个本地代理伺服器或其他的代理伺服器,会频繁地在不同国家间进行重定位,增加追踪的困难度[4][5]。
该有效负载会将整个硬碟与相连结的网路硬碟中的档案,利用公开金钥进行加密,并将档案加密的纪录送入一个登录码。这个过程中,仅会将特定附档名的资料档案进行加密,例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD档案[2]。有效负载接者会显示一则讯息,告知用户档案已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2比特币,才能解开这些档案。付款动作必须在72至100小时内完成,否则私人金钥将会在伺服器端摧毁,并且“将永远没有人能打开这些档案[1][3]。”勒索付款后,会允许用户下载一个解密程式,然后预载用户的私人金钥[1]。
2013年11月,CryptoLocker的操作者开放了一个线上服务,允许用户不用CryptoLocker程式就能解密档案,并且必须于截止时间前下载解密金钥;这个过程包含了将解密档案样本上传到恶意软体的网站,然后在24小时内,网站会依据请求,寻找匹配的金钥。一旦匹配成功,用户就能够进行线上付款;如果72小时的期限已过,付款价格将会增长到10比特币(在2013年11月上旬,换算汇率为超过3500美元)[6][6][7]。
防灾与解灾
安全软体可能无法侦测到CryptoLocker,或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到,该恶意软体有时只会加密一小部分的档案;立即清除该恶意软体(这本身就是一个相对简单的程序)理论上可以降低资料的伤害数量[8][9]。专家建议的预防方式,包含使用软体或其他安全策略,阻挡CryptoLocker的有效负荷完全被占据[1][2][3][5][8]。平常勤于备份重要档案,并离线、异地储存,使得档案遭勒索软体加密后,尚有机会可从备份还原。
由于该档案的操作性质,一些专家坦承支付给勒索者是在缺乏备份还原(尤其是不经由网路连接下的离线备份,或是从连续资料保护系统的备份进行还原)下的唯一方式。由于金钥的长度是由CryptoLocker所操纵,可以预见地,这些被加密的档案无法暴力破解,在不付款的情况下解密档案;相似的例子为2008年的蠕虫病毒Gpcode.AK,使用的是1024位元的加密,相信这个加密程度太大,导致无法以分散式计算,或是发现漏洞的方式打破加密的内容[1][7][10][11]。赛门铁克估计至少3%被感染的用户会采用付款方式解决[5]。
2013年10月下旬,卡巴斯基报告其DNS陷阱已经建立完成,可以在部分域名用户接触到CryptoLocker时进行阻挡[12]。
变种
- Crypt0L0cker 类似CryptoLocker的勒索软体
参考文献
- ^ 1.0 1.1 1.2 1.3 1.4 1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. (原始内容存档于2013-11-17).
- ^ 2.0 2.1 2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. (原始内容存档于2013-10-30).
- ^ 3.0 3.1 3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. (原始内容存档于2016-11-10).
- ^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. (原始内容存档于2017-05-08).
- ^ 5.0 5.1 5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. (原始内容存档于2013-11-18).
- ^ 6.0 6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. (原始内容存档于2013-11-05).
- ^ 7.0 7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. (原始内容存档于2017-04-30).
- ^ 8.0 8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. (原始内容存档于2016-11-10).
- ^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. (原始内容存档于2016-03-14).
- ^ Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDnet. 6 June 2008 [25 October 2013]. (原始内容存档于2008-08-03).
- ^ Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 13 June 2008 [25 October 2013]. (原始内容存档于2016-03-03).
- ^ Cryptolocker Wants Your Money!. SecureList. Kapersky. [30 October 2013]. (原始内容存档于2013年10月29日).
外部链接
- Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013. Cisco Security Intelligence Operations Portal. San Jose, CA, USA: Cisco Systems. 2013-10-14 [2013-10-30]. (原始内容存档于2013-11-02).