提防來自惡意郵件的勒索病毒 ─ Cryptolocker
近期,台灣地區不少企業紛紛遭受到Cryptolocker病毒侵襲,這隻病毒不同於過往病毒的模式,它發病後並不會將電腦資料摧毀,而是將重要的資料全都加密,並要求受害人在72小時內支付「贖金」,否則就再也無法解密電腦中的資料。ASRC研究中心與中華數位科技發現,這支病毒其實早在2013年9月份已經在許多地區流竄,直到近期,台灣部份企業才開始感受到它的威脅。
如果Cryptolocker的程式被執行了,它首先會先將本體程式搬動並設為隱藏,接著改動註冊表成為開機自動執行的程式。接著它會搭配系統時間,依一定規則產生多半為14位英文字母的檔名,並搭配.com、.net、.biz、.ru、.org、.co.uk、.info頂級域名試圖進行對外連往外部的控制主機(Command and Control Server),因此難以設定特定的domain或IP規則阻擋Cryptolocker對外的連線。
如成功連往外部控制主機,便會依據被感染主機的一些可識別特性,下載一組RSA公鑰,用來與控制主機建立「獨有且可信賴的」加密連線。接著嘗試搜尋本機、網路芳鄰…等與感染主機連線的儲存裝置,針對下列副檔名的檔案,分別產生一組新的金鑰,以對稱式的AES的加密方法快速進行加密:*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, .jpg, .jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c。完成加密後,再將AES的金鑰以RSA公鑰加密起來並進行之後的要求「贖金」的動作。仔細觀察這些副檔名的格式,其實不難發現一些影音娛樂用的檔案,如:*.mp3、*.mov、*.wmv…等類型並不為其加密目標,Cryptolocker加密標的皆為企業或個人在工作生產過程中常見的檔案類型。如企業內部不幸有電腦遭受Cryptolocker感染,應盡速斷開該電腦的網路連線,避免與感染主機連線儲存裝置上的資料也被加密!
預防被Cryptolocker攻擊的方法:
- 建置並定期更新的垃圾郵件、電腦病毒過濾機制
- 定時更新電腦與軟體的漏洞修補
- 定期將PC資料往外部備份,且備份完成後,將PC與備份裝置離線
- 啟用Windows的還原點系統保護,或第三方還原機制
- 保持警覺,不隨意開啟不明郵件中的附件檔案