2016-02-12 by 鼎益盛 AJ Lin
勒索程式起源於俄羅斯犯罪駭客
Crypt0L0cker是CryptoLocker的進化版,英文字o變成數字0,其意思代表Cry-Pay-To-Locker,駭客用意很清楚直白就是要錢,和以前只是讓你電腦使用不順暢比起來,Crypt0L0cker只能用窮凶惡極來形容,甚至攻佔醫院伺服器,直接與醫院談判贖金,每日進帳超過3000萬美金,鼎益盛A.J 把這次勒贖軟體的國家來源,操作方式,解檔案流程,中毒管道做了以下的全攻略整理。最後,我花了一個禮拜的時間救回了六成的檔案。
1.怎麼中毒的 2.不付贖金的處理辦法 3.付贖金的解開流程 (要按照流程才能解開,不然你付了贖金也是會被撕票) 4.預防方法 5.2016年各大網站災情新聞 6.趨勢科技在2016-5-24號發佈釋出免費釋出勒索軟體解密工具
根據紐約時報對於勒贖軟體的相關報導(原文連結):
" 安全公司索佛斯說,據信是在俄羅斯或烏克蘭的一組駭客,略多於一個月的時間裡就得手約值1650萬美元的比特幣,受害人主要在美國"
" 國際當局合組的聯盟2014年年中查獲CryptoLocker集團,揪出主謀是30歲俄國人葉夫根尼.鮑加契夫,該集團說已將軟體散布至23萬4000台電腦。其後,更惡毒的病毒株不斷出現,多數在CryptoWall名下。"
" 2014年底,「戴爾安全工作室」說,CryptoWall已感染逾80萬台電腦。其後,該惡意軟體的新版如TorrentLocker和Dirty Decrypt經常現身。"
" 新罕布夏州德爾罕警局2014年6月遭CryptoWall攻擊,但拒付贖金,並成功轉到備份文件。但最近,田納西州迪克森縣、麻州圖克斯伯里市的警局基於七萬多筆的刑事紀錄和鑑定,都選擇支付約500美元的贖金。"
Crypt0L0cker是2015與2014卡巴斯基發布破解的CryptoLocker不同(最初是其中一個分支被警方查獲,警方把相關軟體交給卡巴斯基,再由卡巴斯基研究再製發佈解密及預防疫苗程式,後來沉寂了一段時間,2015年捲土重來受害災數以三倍的速度成長,國外媒體稱為 <索馬利亞海盜電腦綁架>估計一天有3000萬美金的進帳,而全球的執法單位都束手無策。
目前這個方式犯罪方式還無法破解,日益增大的組織也讓聯合國擔心,勒索來的比特幣會讓沒有法律的Deep web非法活動更為猖狂(毒品交易、軍火買賣、買兇殺人、暴力色情)在美劇《紙牌屋》第二季有個請駭客追查暗殺真相的橋段就是描述Deep web,為了力求還原劇情的真實性甚至邀請了真正的網路駭客Gregg Housh充當顧問,Deep web一般人無法進入,必須透過tor,這也是為什麼中國大陸要嚴密控管網路,大陸著名的駭客交流論壇就是由人民解放軍管理的。
Crypt0L0cker的主要特徵就是所有檔案都會變更檔名為.encrypted這是用2048bit的RSA加密運算方式產生,現今網路銀行轉帳的網址SSL加密也只用到 128bit 加密而已,能破解RSA-2048bit的只有一個名為<秀爾算法>的,需要用量子電腦來算,但這並不是凡人所能接觸到的設備。
“破解RSA-2048(2048-bit)的密鑰可能需要耗費傳統電腦10億年的時間,而量子電腦只需要100秒就可以完成。”
——Dr. Krysta Svore, 微軟研究院
勒索軟體主要是透過 Flash 、Java 、微軟漏洞偽裝隱身的木馬病毒
駭客集團會脅持各大媒體的彈出廣告視窗(沒錯!就是萬惡的flash框框),你不小心點擊廣告就下載了,連BBC和時代雜誌的網站都證實被駭過。所以你電腦都更新到最新版本也是會中。
Crypt0L0cker的真面目是TorrentLocker這變種病毒已經進步到你無法想像的地步,主要是偽裝成 Flash、JAVA、PDF、提高電腦效能的小軟體、隱藏在廣告視窗裡甚至沒有廣告,甚至是一個看起來無意義的空白彈出視窗,只要不小心點擊到就會觸發下載程式,這個木馬病毒會不斷改版進化逃過防毒軟體完成下載流程,更遑論手機用戶大部分都沒有安裝防毒軟體,如果手機又和電腦同步,很容易就在電腦裡埋下駭客的勒贖軟體程式,01上面就有苦主說他的小紅傘根本沒反應,受災戶也包含許多Windows7 和 MAC的使用者,這也就是為什麼各大瀏覽器都宣布Flash對安全有危害的放棄不再支援flash主要原因之一。Crypt0L0cker勒索程式也一直在公開招募被害者加入犯罪,協助更新技術,分享勒索利潤,讓防毒軟體公司及全球執法單位都面臨前所未有的挑戰。
簡單的說,如果不太常使用電腦的人,在網路上追劇,或看線上版盜版電影,若跳出一個視窗<請更新Flash來觀看影片> <請下載擴充套件來觀賞影片>,大部分民眾是不會有戒心馬上想到這就是病毒的。 而且!不管手機、MAC、PC 都會互相流通,會有潛伏期,不會馬上發病,一開始硬碟讀取會變慢,再來會開始加密你的檔案,若電腦無故高速運轉,一直在讀資料,先立刻斷網,若持續再高速運轉,建議馬上關機,想辦法用其他電腦來讀正常的檔案或檢測,勒贖軟體在加密檔案的時候,原來的檔案會刪除,留下已經加密的那個,如果你技術夠好試試用反刪除軟體能不能救回來,只能碰碰運氣,因為Crypt0L0cker已經強化到中毒之後無法再安裝軟體,就算能裝也不一定能使用,也會啟動Crypt0L0cker的報復機制。
1.就算電腦會自動更新,還是會中招的,因為大部分的人並不會隨時去記住flash版本更新號碼,一般民眾不會想到,只是要上網看個韓劇,出現一個視窗<觀看影片需要請更新flash>就把勒索軟體下載了。不論Crypt0L0cker偽裝成甚麼檔案,或由甚麼途徑散佈,都必須要<點擊>才會<觸發下載>
而且,甲骨文公司已經承認,Java更新程式只是更新,並不會把舊版有問題的移除,只會讓電腦用戶更容易被駭新聞連結,(如果有人一直說風涼話怪你不更新才中毒的話,可以給他看這個新聞)甲骨文也於2016年1月負起隱瞞Java安全性安全無疑的責任, 一口氣釋出248個安全更新,同月也宣布將終止支援Java瀏覽器外掛,但Flash並沒有任何動作宣布主動防駭的消息(要是換成華人世界早罵翻了,就像滔寶有人賣假貨,罵馬雲,台灣不管有任何事情罵總統就對了,反觀APPLE在第一時間就消滅了散佈開發程式的源頭,維護蘋果的用戶安全,因為在蘋果環境裡,開發程式的人都要實名認證的,哪個程式是惡意的很容易追到源頭,這就是坊間流傳apple比較不會中毒的原因)
2.這個變種木馬在2015年下半年被發現,進化了強大的隱身功能,讓使用者點了惡意網站,當下並不會有反應,Crypt0L0cker的檔案也很小,可能不到500K,也極有可能你只是在小螢幕的裝置要關掉flash的廣告視窗,一不小心手滑,或讀載顯示的太慢,要點叉叉關掉視窗的,卻因為畫面leg位移,就不小心點了惡意廣告
3.而大部份的網站主並不曉得自己的網站被駭客竄改語法變成散布木馬病毒的殭屍網站了,只要透過 flash 和 java就能當作媒介慎選網路主機商非常重要,切勿使用免費的主機空間,趨勢科技就協助查獲一個免費主機商其實就是後門木馬程式的共犯
4.防毒軟體就算更到最新,也不一定會防禦的了,邏輯就是要有毒藥才能製作解藥,等你解藥做出來,新的毒藥也出來了,如果到處都有解藥,駭客也不會花時間做毒藥,這也是為什麼全世界的災情越來越慘重讓美國田納西州迪克森縣、麻州圖克斯伯里市的警局也只能付贖金保住七萬多筆的刑事紀錄和鑑定的原因
5.Crypt0L0cker和其他木馬犯罪病毒聯手企業化經營了,例如:側錄網路銀行鍵盤的木馬後門程式,現在駭客犯罪還有直銷抽成制度,廣招有技術背景的人加入他們更新技術分享利潤,忍不住懷疑台灣已經有代理商協助他們,所以你如果常用網路銀行的話首要先更新金融卡密碼以防萬一。
6.根據防毒軟體公司統計7-8成的受災戶都是微軟,其中又以window7和XP是最大比例,因為蘋果幾年前就宣布不支援Flash和Java了,要在Apple上架的app也規定不能有java(Apple的用心真的是時間來證明的)。
相關文章: Apple 2010年宣布不支援JAVA 勒贖軟體偽裝成JAVA更新騙使用者點擊下載
2016年3月16號新聞 BBC、紐約時報的廣告視窗被勒索脅持散佈惡意程式
發現中毒之後請先確定電腦裡面的備份是否還在,是否被加密,檔名是否正常
目前世界上並沒有任何一間防毒公司能憑單一檔解免費幫你解encrypted檔的2048bit加密檔案,只有加密者有唯一的encrypted解密金鑰,除非你中的是舊版的勒索軟體,若剛好是卡巴斯基2014年釋出的,破解的成功率可以提高三成,建議還是可以碰碰運氣,鼎益盛整理了一些網路上流傳的解encrypted的方法大致分為下列:
1.找出你幾個檔案是<加密前>及<加密後的>提供給這間大陸防毒軟體公司Dr.Web讓他們試試看,但必須購買他們軟體提供你的客戶購買序號才能受理,Dr.Web也表示無法100%破解,從你寫信到受理也會有流程天數,也無法在兩三天之內完成解密把檔案寄還給你。
破解勒贖軟體解encrypted檔大陸防毒軟體公司:Dr.Web
2. 電腦有設定固定時間備份,可以用回溯的方式 (鼎益盛提醒您,這個方式回溯作業系統為主,前提是您所有的硬碟都有在固定備份範圍內)
參考文章:如何移除Crypt0L0cker
3. 如果你是CrypBoss Ransomware,HydraCrypt與UmbreCrypt這三種勒索軟體,可以有未加密,必須要有<加密文件>和<未加密版本>或<加密PNG文件>和<任何PNG圖像>,可以比對出你檔案被加密的運算排序,但是勒索軟體實在太多,變種太快,他們也不保證一定會解開。鼎益盛提醒您Crypt0L0cker則會啟動他的報復機制,不斷重覆加密不建議嚐試。
勒索軟體HydraCrypt和UmbreCrypt解密程式下載
勒索軟體解密成功之後你會得到加密金鑰的序號組合,但是怎麼利用這組序號來解開其他檔案,還必須請教有技術的相關人士,一般重灌軟體的磁碟救援電腦商大部分都無法處理
勒索軟體駭客集團針對台灣發動強烈攻擊
雖然你看到的是簡體網站,並不是大陸人創造的,況且大陸沒有便利店能買比特幣,大陸的災情主目前了解分為1.從廣告視窗被駭客竄改發送惡意軟體(點此參考騰訊發布相關新聞)2.遊戲軟體如英雄聯盟中散佈(大陸英雄聯盟出現大量木馬攻擊),另外支援的語系還有英文、西班牙文、德文、日文、韓文、泰文。他是根據你的作業系統語言自動切換的,外國人基本上不在乎正體簡體,而馬來西亞,新加坡也用簡體,他們只是選擇最多人使用的。
從網站的付款訊息指示你台灣比特幣廠商,連OK,全家,7-11能買比特幣都標示出來,也讓人不免懷疑台灣有當地的共謀犯罪,電腦重灌的廠商說個人用戶很少人會付錢,付錢之後救援失敗的更是不在少數,更有不少犯罪集團也模仿這個手法,但其實根本沒有金鑰給你也沒真正加密,只是弄個恐嚇的網頁show他的轉帳帳號,改檔名修復一下就能正常開啟。
報警沒有用的,2016年2月洛杉磯好萊屋醫院被針對性的勒索,從事發開始FBI和各大防毒軟體公司就介入,不到一個禮拜,院長就對外發聲明證實付了贖金解檔案。
解開.encrypted檔案的方式及encrypted解密金鑰的流程注意事項
請注意!要避開操作encrypted的地雷才能把解密的損失降到最低
你接下來都必須和時間賽跑,你會產生錯覺以為自己在拍不可能的任務,這是正常的,只要是開機狀態,病毒就會持續運作,必須快狠準的執行,避免以下動作啟動二次加密,才能把損失降到最低,請注意以下幾點:
1. 就算沒有網路依然會繼續加密,會中毒的不只c槽,只要是有網路線連接的都會感染,例如如果有三顆獨立硬碟或是網路芳鄰都會如蝗蟲過境,無一倖免,若有安裝Dorbox PC版,他也會自動上傳致網路空間
2.先從最滿的硬碟開始救,因為他會持續不間斷的加密encrypted,每加密一次encrypted就會增加空間,幾百G很快就滿了,如果等到磁碟完全滿了出現空間不足的話,連解密程式也用,他也會強制不讓你刪除檔案,整個硬碟會出現無法刪除,無法讀取,無法複製的狀態,只能試試移動加密檔案到其他較空的硬碟,但滿的那顆檔案空間不會因此減少
3.如果你想救檔案,在解密之前千萬不要刪除他的檔案(H_E_L_P..警告的網頁檔),那會啟動他第二次加密,即便拿到encrypted解密程式也沒用
4.如果你還想要試著解encrypted檔案,先不要安裝防毒軟體,一樣會啟動他第二次加密,即便拿到encrypted解密程式也沒用
5.拿到encrypted解密金鑰之後,他會開始解開你的檔案還原成正常的檔案,你必須同時把檔案搬到外接硬碟去,或是馬上改附檔名例如把 < 時程計劃表.doc >改成 < 時程計劃表.dddddoc>之類的,以防他又突然發動第二次攻擊
以下是會被加密的檔名*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
6.如果出現 < files are now decrypted . Your PC will be restarted >, 千萬不要重新啟動,也不要把視窗打叉叉關掉,因為只要關掉視窗他就會強制重新開機,重新開機後,警告視窗會變多,你原來解開的檔案會被二次加密成mirco,第一次的encrypted解密程式就無法使用了。
7. 不要理會< files are now decrypted . Your PC will be restarted >視窗,持續的執行encrypted解密,一直到你確定所有encrypted檔案都解開為止,每執行一次encrypted解密檔案程式,時間都不一定,可能20分鐘,可能一小時
8. 檔名encrypted 如果變成mirco檔那就百分之百沒救了
9. 必須在中毒的那台電腦中執行才有效
10.救出檔案之後重灌一定要格式化
11.病毒變種頻率很高,也有可能是不同集團,情況可能不會一模一樣
12.解密金鑰程式是獨一無二的,無法給其他人使用
13.解開的檔案必須在乾淨的電腦重覆掃毒才能流通在網路上
安裝輕量級的瀏覽器防毒軟體可以幫您判別哪些是散佈木馬病毒的惡意網站
要避免不小心開病毒網站的情況,你可以選擇安裝瀏覽器防毒軟體,如下圖,這是google 瀏覽器chrome支援趨勢科技外掛的畫面
1.啟用之後,瀏覽器的由上角會出現趨勢科技和小紅傘的logo,代表執勤中
2.然後鼎益盛找了一個線上免費看<模仿遊戲>的網站來測試
3.點下紅色播放頻道之後,趨勢科技會跳出視窗告訴您這就是惡意網站
現在的防毒軟體也能同時支援各種手機版本、平版等等,至少讓您不暴露在危險之中
-----------以上是2016年2月的流程記錄--------------------
2016年3月22號 新聞 TeamViewer被入侵,檔案被加密
2016年3月16號新聞 BBC、紐約時報的廣告視窗被勒索脅持散佈惡意程式
2016年3月7號新聞 Mac電腦出現首個綁架檔案的惡意程式KeRanger
據《winandmac》等各家科技網站引用《路透》報導指出,Mac電腦首個綁架檔案的惡意程式「KeRanger」於4日出現,若用戶已下載Transmission BitTorrent 2.90版本的話,就有可能中毒。
這個病毒的潛伏期3天,《科技新報》表示Mac用戶若在4日被感染,電腦就會在今天連上駭客伺服器,檔案被加密無法使用,KeRanger更會索取贖金1元比特幣,相當於400美元、台幣約1.3萬元,才能拿回檔案。
2016年2月15號新聞 好萊塢醫院被勒索病毒勒索 360萬美金
位於洛杉磯的好萊塢長老會醫療中心的電腦系統在今年二月初遭到駭客入侵後被感染勒索軟件。目前駭客向院方索要9000比特幣來解鎖電腦檔案(相當於約360萬美金)。由於院方要求醫院工作人員及管理人員向外界保密,因此尚不清楚具體的細節。目前該醫院中心已要求當地警方、聯邦調查局及網絡安全公司幫助調查這起事件。
2016年2月18日 後續新聞 醫院院長證實已經支付 17,000 比特幣給勒贖軟體駭客保住醫院資料
院長艾倫斯凡特表示,醫院系統於2月5號開始癱瘓,為了病患權益及維護醫護系統正常運作,付贖金是最快速的方法,而醫院檔案也完全恢復,FBI發言人表示仍和洛杉磯警方持續追查中。
2015年11月28號新聞 雲林古坑鄉公所80部電腦受害,電腦勒贖總金額逾70萬台幣
〔記者黃淑莉/古坑報導〕電腦「勒索病毒」肆虐,連古坑鄉公所也遭入侵綁架,八十部電腦中常用的文字及影像、照片檔都遭加密,對方要求每部支付三百美金贖金,總額逾台幣七十萬元,公所束手無策。
古坑鄉公所多位同仁這幾天打開電腦螢幕視窗都出現「請注意!我們將使用病毒Cryptolocker為您的所有文檔加密……您的文檔還原的唯一方法—付款給我們」,公所行政室主任林展翔表示,公所的電腦遭勒索病毒入侵,電腦內常用的office文件檔及照片、影音檔都被加密無法開啟。 林展翔指出,公所共有八十六部電腦,中毒達八十部,幸好勒索病毒主要是攻擊word、pdf等office文件檔,並不會攻擊雲端公文系統及其他公文檔,因此並不影響公文往來,不過許多同仁存在電腦裡文件檔及照片檔都報銷。
公所雖立即報警,但破案機會渺茫。林展翔說,中毒第一時間已請資訊公司工程人員協助掃毒,已移除勒索病毒,並請同仁刪掉所有中毒檔案及關閉outlook之郵件預覽功能。
參考資料 :
Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ?
勒索事業會走向B2B嗎?勒索軟體提供在家創業服務,收取客戶10%費用!
1.怎麼中毒的 2.不付贖金的處理辦法 3.付贖金的解開流程 4.預防方法 5.2016年各大網站災情新聞 6. 回到最上方
視覺相關 (4)