勒索軟體通常透過木馬病毒的方式傳播,例如透過下載檔案夾帶,或是透過網路系統的漏洞而進入受害者的電腦。勒索軟體在進入後,會直接執行,或是透過網路下載病毒的實體資料,並恐嚇受害者。恐嚇訊息隨著不同的病毒而異,例如假借執法機關的名義,恐嚇受害者的電腦被發現進行非法行動,如色情、盜版媒體,或是非法的作業系統等。
某些實體資料只將作業系統鎖住,直到受害者付清贖金後才將電腦解鎖。實體資料可能以數種手段來達成恐嚇,包括將Windows的使用者介面(Windows Shell)綁定為病毒程式,或甚至修改磁碟的主啟動磁區、硬碟分割表等。
最嚴重的一種實體資料將受害者的檔案加密,以多種加密方法讓受害者無法使用檔案,唯一的方法通常就是向該病毒的作者繳納贖金,換取加密金鑰,以解開加密檔案。
獲得贖金是這類病毒的最終目標。要讓病毒的開發者不易被執法單位發現,匿名的繳款管道是開發者的必要元素。有數種的管道發現被開發者用作匿名繳款,例如匯款、簡訊小額付款、線上虛擬貨幣、數位貨幣比特幣等。
加密型勒索軟體
最早已知的此種病毒是1989年的"AIDS" Trojan病毒,由Joseph Popp製作。該病毒的實體資料會宣稱受害者的某個軟體已經結束了授權使用,並且加密磁碟上的檔案,要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定。使用公開金鑰加密的構想是1996年由Adam L. Young和Moti Yung所提出的。兩人指出,AIDS Trojan之所以無法有效發揮作用,是因為其採用的是私鑰加密,該技術的加密金鑰會儲存於病毒的原始碼中,從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒,在Macintosh SE/30電腦上使用RSA及TEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」(cryptoviral extortion),屬於現今稱作加密病毒學中的一個分支。
2005年5月開始,勒索軟體變得更為猖獗。在2006年中,勒索軟體開始運用更加複雜的RSA加密手段,甚至加長金鑰的長度,像是Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等病毒。例如在2006年6月發現的Gpcode.AG使用了660位元的RSA公鑰。2008年6月,發現了該病毒的新變種Gpcode.AK。該變種使用了1024位元的RSA公鑰,據信在不使用分散式計算的情況下,破解該金鑰對單一電腦來說,將是徒勞無功的。
加密勒索軟體隨著2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期,該病毒最大的差異在於利用新時代的比特幣進行勒索。2013年12月,ZDNet估計該病毒單單在該月(12月)15日至18日間,就利用比特幣從受害者身上汲取了2700萬美元的鉅額。CryptoLocker的手法在緊接著的幾個月內被多種病毒所效仿,包括CryptoLocker 2.0(被認為和原始的CryptoLocker無關)、CryptoDefense(值得注意的是,該病毒的初始版本包含了一個嚴重的設計缺陷,將私鑰儲存在使用者能找到的位置,因為其使用Windows的內建加密API進行行動。),以及2014年8月一個專門針對群暉科技(Synology)生產的網路附加儲存(NAS)裝置進行攻擊的病毒。 在2014年尾,High-Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒。
2017年5月,勒索軟體WannaCry大規模感染了包括西班牙電信在內的許多西班牙公司、英國國民保健署、聯邦快遞和德國鐵路股份公司。據報導,至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊。
非加密型勒索軟體
在2010年8月,俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯。WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密,相反的,WinLock顯示色情圖片遮擋使用者的電腦螢幕,並提示受害者利用大約10美元的簡訊付費以接收解鎖的密碼。這個病毒襲擊了俄羅斯及鄰近國家的許多人,並被報導指出,攻擊者賺取了超過一千六百萬美元的收入。
2011年,一個勒索軟體假藉Windows產品啟用的名義行騙,提示受害者的Windows因為是詐騙的受害者(victim of fraud),所以必須重新啟用。就像真正的產品啟用一樣,病毒也提供了線上啟動的選項,卻顯示成無法使用,並要求受害者撥打六支國際電話的其中一隻,並且輸入六位數密碼。雖然病毒宣稱該電話號碼為免費撥打,電話卻實際上會被轉接到高費率的國家,再刻意將該通話置於保留(on hold),藉此讓受害者付出高額的國際長途電話費用。
2013年,一款基於Stamp.EK攻擊套件的病毒浮上檯面。該病毒散發訊息在各個SourceForge和GitHub專案頁面中,並宣稱提供名人的假造裸照。 2013年7月,一個針對OS X的勒索軟體出現。該病毒會顯示一個網頁,宣稱受害者被發現下載色情媒體。不像Windows的病毒一樣對整個系統上鎖,該病毒只能利用點選劫持來混淆受害者的視聽,試圖不讓受害者用正常方式關閉該頁面。
2013年7月,一名來自維吉尼亞州的21歲男子中了勒索軟體,卻在巧合之下,因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照,而病毒顯示FBI查獲兒童色情媒體的警告,向警方自首。2016年1月,也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟體。
防禦
就像其他形式的惡意軟體一樣,防毒軟體不一定能偵測出勒索軟體的實體資料──尤其是加密用的軟體一直到開始加密或是完成加密了才被發現。對於未知的病毒來說更是如此。若攻擊尚在早期階段,加密檔案尚未成功,此時強制移除病毒實體資料就能避免對資料的進一步加密,例如拔除電源等物理性做法也是可以搶救回部分資料。安全專家建議了一些預防措施來應對勒索軟體,例如使用防毒軟體或設定以避免已知的勒索軟體執行;保留與不與電腦連接的資料備份,尤其某些病毒會將仍與電腦連接的備份檔案一併加密。非加密性勒索軟體能被專家移除,或是利用現成的安全軟體刪除。
雖然勒索軟體的威脅無法被完全革除,使用IT業界所稱的多層次預防策略(defense-in-layers security strategy)卻稱得上是不錯的預防手段。多層次預防策略提倡同時部署多種獨立、領域互相重疊的安全措施以建立穩固的安全措施。各安全層被設計和其他安全層互補,使得威脅不易穿透重重防護。例如一個安全策略可能包含下列五層:
全面性的、完備的安全政策
網路和郵件的內容過濾代理伺服器
基於安全等級設置存取控制
加密重要資料
強化員工教育訓練
資料來源wiki
5 Steps to Take on Ransomware – A Defense-in-Layers Approach
您或公司具備足夠防護了嗎?
政策面
(1) 應定期確認所有主機(包含終端使用者以及伺服器主機),都更新至最新安全性更新。 安全性更新分別為作業系統以及應用程式(例如Flash, Acrobat, Office, etc.)
- 微軟每月定期進行更新,須安排當月於測試環境驗測無誤後,進行更新。
- 其他第三方廠商之軟體,也應於弱點公布、廠商提供相關修補程式後,於當月安排時間進行更新。
- 定期檢閱CVE,以確認是否有新的弱點需要進行修補(每週/每月)。
(2) 訂定良好的網路共享權限管控
(3) 終端使用者以及伺服器主機存取Internet,應有良好的規範控管
- 針對伺服器,禁止下載可執行檔
- 針對伺服器,上網採用正向表列開放可存取網站
- 針對POS, Kiosk系統,採取正向表列可執行的程式。
- 針對終端使用者,禁止瀏覽高風險網站。
(4) 重要資料應定期備份,並且應於定期進行資料還原演練
- 備份應該在不影響日常運行,並且貼近於使用者平時使用習慣
- 重要資料應每週或每月進行備份
- 備份資料應於每季或每半年進行還原演練
- 備份應有一份離線備份,避免遭受感染時,一併感染備份的檔案
(5)提高企業內部員工資訊安全意識
- 加強內部宣導,不要隨意開啟來源不明的郵件附加檔案(特別是.SCR, .CAB格式)
- 應定期針對內部員工進行資訊安全訓練(如每季)
- 於公司內公共場所提供資安訊息
技術面:應持續更新作業系統或是應用軟體,平均四天軟體漏洞就可能被駭客所利用
(1)
傳統防毒
- 針對最新已知病毒可以有效隔離並刪除。
- 使用雲端防護機制,讓端點防護可以得到最快最新的保護。
(2)
網路釣魚郵件
- 公司安裝了可以防治惡意軟體的郵件閘道
- 公司郵件閘道可以使用沙箱來測試惡意軟體
- 不小心誤開啟惡意郵件後,端點防護軟體仍然可以偵測到可疑加密行為並中斷執行。
(3)
惡意廣告 網頁掛馬
- 使用網頁信譽評等相關雲端服務來阻隔已知惡意網頁
- 端點防護可以在勒索軟體與C&C伺服器溝通時有效阻隔
- 端點防護可以偵測到Exploit kit並阻擋
(4)
Botnet
- 針對已知Botnet的C&C伺服器可以有效隔離
- 端點防護可以偵測Botnet是否在背景運作並阻擋
- 公司管理者可以透過系統偵測內部有可疑Botnet連線並阻擋
(5)
滲透攻擊與主動橫向感染
- 公司管理者可以透過系統發現可疑封包並阻擋
- 端點防護在未知勒索軟體執行時,能發現可疑加密行為,並在第一時間嘗試備份檔案;確定為惡意後可阻擋加密行為並阻擋勒索軟體,並有機會利用檔案備份復原檔案。
(6) 檔案備份與復原
- 遵守3-2-1備份原則:3份備份、2種不同儲存媒體、1個不同的存放地點。
資料來源:
*1 : FBI, 2015
June,
https://www.fbi.gov/sandiego/press-releases/2015/fbi-warns-public-of-cryptowall-ransomware-schemes
*2 : ICIT
(Institute for Critical Infrastructure Technology ), 2016 March,
http://icitech.org/wp-content/uploads/2016/03/ICIT-Brief-The-Ransomware-Report2.pdf
*3:趨勢科技
沒有留言:
張貼留言