網路勒索軟體 - CryptoClocker
  • 8,290 views,
  • 2013-12-09,
  • 上傳者: Kuann Hung,
  •  0
CryptoClocker 是近期最流行的網路勒索軟體,它與之前的勒索軟體主要不同在於它並不會去鎖定作業系統的登入動作,而直接針對使用者的檔案 (包含:Office, PDF…等) 進行最高等級的加密,讓使用者無法開啟加密後的檔案,而以勒索方式要
求使用者付 100 元美金才提供解密金鑰。由於加密過檔案是無法還原,主要的原因是私鑰是在駭客手上,所以使用者遇到利用社交工程郵件請勿直接開啟。
 
另外,上個月我們發現有數百萬的 CryptoClocker  針對性的惡意郵件持續在國外散播,為了讓各位更清楚 CryptoClocker 運作與解決之道,提供如下的 Q&A 的說明:
Q&A
1.
Ransomware 與 Cryptolocker (一般稱為 Ransomcrypt) 有何不同?
Ransomlock 和 Cryptolocker Trojans 都會鎖定使用者的電腦並將使用者個人檔案加密。它們的動機都是藉此向被害者勒索費用。
2.
這個威脅是何時發現的?
在 2013 年九月,Cryptolocker 開始被發現
3.
Cryptolocker 是一種新型的威脅嗎?
不,賽門鐵克會偵測並視為類似的惡意軟體如 Trojan.Gpcoder (May 2005) 與 Trojan.Ransomcrypt (June 2009)。同樣都會將受感染的電腦檔案加密。
4.
Cryptolocker 的風險等級為何?
高。一旦檔案被 Cryptolocker 加密,而且您沒有備份您的檔案,那就如同您的檔案已經遺失了。
5.
我怎麼知道我被感染了?
一旦被感染,你會看到這樣的畫面向您勒索:
 
6.
我為什麼會被感染?
通常是您收到了一封利用社交工程寄出的廣告信,其中夾帶了一個 zip 檔案。
 
如果您把附件的 zip 檔打開,你就會發現一個可執行檔。有的時候該檔案會被偽裝成一個文件或是其他的檔案來引誘您開啟。
一旦您執行了該程式,他會去下載 Trojan.Zbot。 如果您感染了 Trojan.Zbot,他就會開始下載 Trojan.Cryptolocker 到您的電腦。
Trojan.Cryptolocker 會根據 domain 
generation algorithm (DGA).尋找一個可用的 C&C (command-and-control server) 。只要找到,就會開始下載一個公開鑰匙 (public key) 用來加密電腦裡面的檔案。與此 public 配對,用以解密的私人鑰匙 (private key) 則在駭客的伺服器上。Private key 被駭客所控制,並且如果無法存取到經常被更換的 C&C 則無法使用此 private key。
7.
Symantec 有提供我立即的保護嗎?
是的,Symantec 已經可以防範以下的威脅:
8.
C&C (command-and-control server) 看起來像甚麼?
以下為從 DGA 所發現最近出現的 C&C
   * kstattdnfujtl.info/home/
   * yuwspfhfnjmkxts.biz/home/
   * nqktirfigqfyow.org/home/
駭客一天可以產生將近一千個 C&C 的網址。
 
此種攻擊除了使用社交工程來感染之外,他還包含了幾個技術
   * Cryptolocker 使用公開金鑰系統 (RSA 2048) 加密。只要您無法取得 private key 您就沒有辦法將您的檔案解開
   * Cryptolocker 使用基於梅森旋轉演算法 (Mersenne twister) 的 DGA 來亂數產生並尋找可用的 C&C
9.
這樣的威脅有多流行?
根據 Symantec telemetry 技術,這個威脅正在美國流行,雖然受害回報的數量並不多,但此風險等級仍然值得注意!
 
風險分布如下:
527b7fb6c69daf16bdc6c8efd2f1391a.png
10.
Symantec 有針對此相關攻擊發表任何資訊嗎?
請參考以下的網址:
11.
如果我被感染了,我該付這筆贖金嗎?
不,你不該付贖金!這樣的行為只是鼓勵駭客持續使用這樣的攻擊,並加強攻擊的方式。
而且即使您支付了贖金,也沒有任何保障可以救回您的檔案!
12.
Cryptolocker 背後是誰?
這樣的研究正在進行中!
13.
有任何關於復原被加密的檔案的建議嗎?
是的,您可以參考以下文章:
   * Recovering Ransomlocked Files Using Built-In Windows Tools
14.
有甚麼建議使我不要成為下一個受害者?
首先,請備份您的檔案。並使您的系統有更新到最新的病毒定義檔與系統更新檔案。避免開啟任何可疑的信件。
 
15.
賽門鐵克有提供備份方案嗎?
您可以參考備份相關的產品: http://www.symantec.com/products/data-backup-software
Facebook 討論區載入中...
資料夾 :
發表時間 :
2013-12-09 23:34:00
觀看數 :
8,290
發表人 :
Kuann Hung
部門 :
老洪的 IT 學習系統
QR Code :