加密勒索軟件再進化︰可跨平台「綁架」檔案 較難偵測更具威脅

加密勒索軟件再進化︰可跨平台「綁架」檔案 較難偵測更具威脅
Image Credit: Illustration Works / Corbis / 達志影像
我們想讓你知道的是

有防毒軟件公司發現新型加密勒索軟件Ransom32,其設計理論上可以在不同作業系統運行,使得蘋果電腦及Linux的用家也有機會中招。而且它以程式語言JavaScript寫成,更容易避過防毒軟件偵測。

唸給你聽
powered by Cyberon

加密勒索軟件近年肆虐,感染的電腦數量越來越多。一旦中招,這些惡意軟件會把檔案加密,迫使受害者向罪犯支付贖金,以解開檔案。由於比特幣(bitcoin)及Tor網絡的興起,使罪犯收取贖金更加方便,令犯罪集團爭相推出不同的加密勒索軟件,務求在這豐厚收入上分一杯羹。

加密勒索軟件︰鎖上你的檔案 不付贖金打不開

其中一款名為Cryptowall的軟件,被網絡保安專家視為最具破壞力、最強大的加密勒索軟件。美國聯邦調查局估計,自2014年4月推出至2015年6月,這款軟件已造成最少1800萬美元損失,網絡威脅聯盟於去年底發表的研究估計損失更超過3億美元。去年底該軟件更新至4.0版本,把檔案連檔名一併加密,令受害者無法得悉被「挾持」的檔案,從而提高付贖金的比率。

防毒軟件公司Emsisoft的研究人員近日發現,一款新型的加密勒索軟件Ransom32也許會帶來更廣的影響,也更難被防毒軟件發現。

Ransom32以「軟件即服務」模式運作,需要在Tor網絡上註冊,資料也放在網絡上。註冊只需要一個比特幣地址——一旦有人中招交付贖金的地址,填好後便能進入控制台。在控制台不但能夠看到有中招、已鎖上電腦及付贖金的統計數字,也有多個勒索軟件選項,容許設定贖金金額、顯示訊息及潛伏時間等,設定好後便能夠下載用來散播的惡意軟件。

「龐大」的Ransom32

研究人員表示,需要下載的檔案超過22MB,跟一般加密勒索軟件截然不同,後者通常小於1MB,賣家亦會以其檔案細小(方便傳播)作為賣點。Ransom32反其道而行,因此引起Emsisoft研究人員的興趣。

他們把檔案下載後,發現那是個會自行解壓的壓縮檔,解壓後可看到勒索軟件偽裝成瀏覽器Chrome。一旦下載並執行後,軟件會自動設定電腦,確保每次開機均會開啟軟件,以及偷偷用Tor網絡連上伺服器交換資訊,獲得加密用的密匙。一切設定好後,軟件便會顯示勒索訊息,同時在背後把檔案加密。

Ransom32均使用AES方式加密,密匙長度為128位元,而每個檔案均會使用不同密匙加密,這些密匙則用RSA公匙加密。軟件容許受害者解密一個檔案,以證明檔案能夠回復原狀、游說他們付贖金。

首個JavaScript加密勒索密件

以上手法早已有其他勒索軟件使用,Ransom32的獨特之處在於它是首個以JavaScript寫成的加密勒索密件。它使用名為NW.js的JavaScript框架,偽裝成瀏覽器的chrome.exe其實是NW.js應用程式。NW.js乃建基於Chrome的開源版本ChromiumNode.js,容許開發者使用JavaScript語言寫出能在Windows、Mac OS及Linux平台上使用的程式。

一般來說,用JavaScript寫成的程式在瀏覽器上運行時,會被限制在沙盒(sandbox)中,不能接觸作業系統。而NW.js則容許程式跟作業系統互動甚至控制系統,使開發者能夠以JavaScript完成更多(以往需要用其他程式語言如C++等完成的)工作。

NW.js能夠讓開發者輕易地把網絡應用程式轉換成桌面程式,而且同一段程式碼能夠在Windows、Mac OS及Linux等不同作業系統上運行。這代表Ransom32理論上可以簡單改寫成適用於Mac OS及Linux的版本,雖然目前研究人員只找到Windows版本,其他作業系統的用家也不能掉以輕心。

難以偵測 定期備份減損失

此外,由於NW.js是正當的JavaScript框架,使防毒軟件較易忽略Ransom32。研究人員表示,在Ransom32寫成後兩個星期,仍然只得3個防毒軟件——Emsisoft、AVware及VIPRE——能夠偵測到其存在。

基於以上原因,Emsisoft的研究人員認為Ransom32是去年其中一個最大型的威脅。加密勒索軟件層出不窮,今次可以看到即使安裝防毒軟件,甚至使用蘋果電腦和Linux的用家也有機會中招。除了小心使用電腦、不要胡亂下載、打開檔案外,要減輕它們造成的損害,目前最佳方法仍是定期備份檔案,這樣即使檔案被加密鎖上也能夠取回。

或許你會想看
更多『新聞』文章 更多『新聞』文章 更多『Kayue』文章
Loader