加密勒索軟件︰鎖上你的檔案 不付贖金打不開

加密勒索軟件︰鎖上你的檔案 不付贖金打不開
Photo Credit: Corbis/達志影像
我們想讓你知道的是

加密勒索軟件是新興的網絡犯罪方式,「綁匪」利用惡意程式把受害人電腦中的檔案加密,須付贖金才能打開檔案。

近年勒索軟件開始擴散,越來越多電腦甚至手機都被「綁架」。「綁匪」利用勒索軟件控制住電腦,讓受害者無法使用;又或將檔案加密,令其無法開啟,再迫使受害者付贖金解決——雖然「綁匪」仍有可能「撕票」。而比特幣(Bitcoin)以及Tor等技術發展,讓勒索軟件變得更難打擊。

最早的「綁匪」

1989年,一個名為AIDS的木馬程式,在感染電腦後會數算電腦的開機次數。一旦數到90,程式便會把C:\上的檔案目錄隱藏,並把檔案名稱加密,令系統無法使用。(也有部份版本沒這個耐性,感染後立即發作。)這時,電腦便會告訴受害人需要更新條款,以及聯絡PC Cyborg公司付費。

程式作者Joseph Popp博士不久後被發現及拘捕,面對勒索控罪。但因其精神狀態被判定為不適合審訊,最終獲得釋放。

AIDS可算是最早的勒索軟件,並利用簡陋的加密方式令受害者無法使用電腦。後來電腦專家Jim Bates分析該軟件,發現它並沒有改變任何檔案內容,僅搞亂了檔名,只要知道加密機制便可回復原狀。後來的兩個軟件AIDSOUT及CLEARAID,分別可移除AIDS和把檔名變回正常,這個電腦上的AIDS不再是「不治之症」。

網絡時代的勒索軟件

到互聯網時代,勒索軟件的傳播——一如其他電腦病毒及木馬程式——變得更普遍。2005至2009年,勒索軟件在俄羅斯及東歐出現,但運作模式有個大問題︰當時仍未流行網上付款,很多時都要求受害人以短訊式形付贖金。

過去10年,各式各樣的勒索軟件不斷滋擾用家。根據電腦保安公司賽門鐵克的介紹,早期的勒索軟件會偽裝成微軟鎖定電腦,要求用家以電話付款,以換取密碼去啟動電腦。也有勒索軟件使用另一策略︰受害人的電腦上會顯示一張色情照片,必須付款才能移除。賽門鐵克表示,後一種策略似乎比較有效,因為隨後的勒索軟件都一致採取——直到2011年。

2011年勒索軟件有三大轉變︰首先它們不再使用色情照策略,改為偽裝成執法部份;其次軟件改為針對德語用家,案件由俄羅斯轉移到歐洲;最後付款模式不再是短訊或電話,而是預先付費的電子系統。

加密勒索軟件復興

2013年9月,勒索軟件CryptoLocker出現。CryptoLocker使用RSA公匙加密技術,鎖上了受害人部份檔案。由於RSA是目前最難解開的加密技術之一,受害者必須得到私人密匙才可開啟被鎖上的檔案,因此不得不付贖金。受害人可選擇用比特幣支付,這使得追蹤「綁匪」的工作更加困難。

Photo Credit: Andrew Brookes/Corbis

Photo Credit: Andrew Brookes/Corbis

由2013年9月至2014年5月,最少50萬電腦受CryptoLocker感染,可見其傳播力驚人。受其影響的還包括一個位於麻省的警察分局,他們的電腦同樣受到感染,最終付了兩個比特幣(當時約值750美元)。

2014年6月,美國聯邦調查局找到了傳播CryptoLocker使用的伺服器,令保安公司Fox-IT及FireEye在伺服器中找到密匙。於是他們開發解密軟件DecryptCryptoLocker,受害人把被鎖定的檔案上載到其網站上,便能獲得解密所須的密匙。

由於CryptoLocker非常成功,有不少人模仿製作出類似的勒索軟件。其中一個叫做CryptoDefense,不單要求受害人付贖金,還規定4天內不交錢的話贖金加倍。「綁匪」更要求受害人使用Tor網絡傳送款項,減少被追蹤的機會,也很貼心地提供指南教受害人如何下載及安裝Tor。然而勒索者沒注意的是,軟件使用的加密密匙在受害人的電腦產生,於是不付贖金仍然有可能解開檔案。

勒索集團的豐厚收入

即使CryptoDefense設計上有個大漏洞,去年3月賽門鐵克透過其中2個用作付贖金的Bitcoin地址,估計CryptoDefense背後的集團每日收入最少3萬4千美元(按當時匯率計),按此比例月入將近40萬美元之多。

科技新聞網站ZDNet追蹤4個受CryptoLocker受害者放上網的Bitcoin地址,發現在短短3個月期間,已有約4萬2千個比特幣的交易,當時(2013年底)價值近2千8百萬美元。

現況

在CryptoLocker倒下後,現在仍然有不同種類的勒索軟件橫行。電腦保安公司Fox-IT認為,最具影響力的三個家族分別是CryptoWall、CTB-Locker及TorrentLocker。

CryptoWall就像CryptoDefense,但堵塞了其漏洞。它不單可以鎖住電腦上的檔案,還能鎖上其他連接電腦的儲存裝置。在某些最新版本,其伺服器甚至隱藏在Tor網絡上。贖金由200至5000美元不等,亦容許購買軟件的勒索集團分紅——只要他們幫有宣傳。

CTB-Locker用上另一種加密方式,使用Tor網絡及比特幣收取贖金,同樣有分紅計劃。TorrentLocker則會從受害人的電郵中傳播開去,Fox-IT計算它取得260萬個電郵地址。

預防勝於治療

畢竟交了贖金也不一定能取回檔案,提防勒索軟件總比付高昂贖金好。目前為止,電腦保安公司仍未有完全防止勒索軟件的方法,但有些基本技巧可以減低中招機會。

首先,必須安裝防毒軟件,而且開啟自動更新,確保電腦得到最新的保護。其次,不要胡亂打開檔案,特別是來歷不明的文件、程式,在網上下載檔案後也要用防毒軟件掃瞄一次才開啟。此外,讀者應該定期備份檔案,跟電腦中的檔案分開(例如存在外置硬碟中),以防萬一。