CryptoLocker
別名 | Crypt0L0cker |
---|---|
分類 | 惡意軟體 |
感染系统 | 特洛伊木馬 |
發現時間 | 2014年6月2日 |
CryptoLocker是一種於2013年下半年出現的特洛伊木馬,以勒索軟體的形式出現的惡意軟體,以Microsoft Windows作業系統為主要攻擊目標,所衍生的變種也向Linux等作業系統及特定廠牌的網路儲存設備(NAS)攻擊。CryptoLocker會偽裝成一個合法的電子郵件附件或.exe格式檔案;如果被活化,該惡意軟體就會使用RSA公鑰加密與AES秘鑰的形式,加密本地與內部網路的特定類型檔案;而私人金鑰則把持在惡意軟體所控制的伺服器上。該蠕蟲會顯示一則訊息,表示如果在規定的期限進行付款(經由比特幣或其他儲值管道),就能夠解密這些檔案,否則私人金鑰將會被銷毀,再也不能打開這些檔案。如果在期限之內,該惡意軟體還會提供一個由惡意軟體控制的線上服務提供解密,但要付出高額的比特幣。
即使CryptoLocker本身很容易清除,但是這些已經被加密的檔案,對於研究者而言是無法被解開的。部分研究者認為如果不付款給勒索者,就沒有其他方法能夠解密這些檔案;另外的研究者則說付款給勒索者是唯一能在未備份的情形下,讓檔案解密的方法。
運作
CryptoLocker通常會以電子郵件附件的型態,包裝成一個看似無害的電子郵件(通常使用合法公司的電子郵件外觀)進行傳送,或是經由殭屍網路發送。所附上的ZIP檔案格式包含了一個可執行的檔案,通常是使用偽裝的PDF文件附檔名與檔案名稱,利用Windows系統當中的文件擴展名規則,掩飾真正的EXE副檔名形式檔案。部份情況下則會實際含有宙斯特洛伊木馬病毒,以進行安裝CryptoLocker[1][2]。首次啟動時,有效負載會以隨機的名稱,自行安裝於我的文件,並於登錄檔登錄一個編碼,會導致於開機時啟動。然後,該惡意軟體會嘗試連接被勒索者所控制的伺服器與指令,一旦成功連接,該伺服器就會產生一個2048位元的RSA加密金鑰配對,並且送出公開金鑰到被感染的電腦[1][3]。該伺服器可能是一個本地代理伺服器或其他的代理伺服器,會頻繁地在不同國家間進行重定位,增加追蹤的困難度[4][5]。
該有效負載會將整個硬碟與相連結的網路硬碟中的檔案,利用公開金鑰進行加密,並將檔案加密的紀錄送入一個登錄碼。這個過程中,僅會將特定附檔名的資料檔案進行加密,例如Microsoft Office、OpenDocument與其他的文件、圖像與AutoCAD檔案[2]。有效負載接者會顯示一則訊息,告知用戶檔案已經被加密,並必須經由預儲值管道(如MoneyPak或Ukash)支付300美元或歐元,或是2比特幣,才能解開這些檔案。付款動作必須在72至100小時內完成,否則私人金鑰將會在伺服器端摧毀,並且「將永遠沒有人能打開這些檔案[1][3]。」勒索付款後,會允許用戶下載一個解密程式,然後預載用戶的私人金鑰[1]。
2013年11月,CryptoLocker的操作者開放了一個線上服務,允許用戶不用CryptoLocker程式就能解密檔案,並且必須於截止時間前下載解密金鑰;這個過程包含了將解密檔案樣本上傳到惡意軟體的網站,然後在24小時內,網站會依據請求,尋找匹配的金鑰。一旦匹配成功,用戶就能夠進行線上付款;如果72小時的期限已過,付款價格將會增長到10比特幣(在2013年11月上旬,換算匯率為超過3500美元)[6][6][7]。
防災與解災
安全軟體可能無法偵測到CryptoLocker,或只能在解密進行或完成後才會被偵測到。如果該攻擊能在早期被起疑或偵測到,該惡意軟體有時只會加密一小部分的檔案;立即清除該惡意軟體(這本身就是一個相對簡單的程序)理論上可以降低資料的傷害數量[8][9]。專家建議的預防方式,包含使用軟體或其他安全策略,阻擋CryptoLocker的有效負荷完全被佔據[1][2][3][5][8]。平常勤於備份重要檔案,並離線、異地儲存,使得檔案遭勒索軟體加密後,尚有機會可從備份還原。
由於該檔案的操作性質,一些專家坦承支付給勒索者是在缺乏備份還原(尤其是不經由網路連接下的離線備份,或是從連續資料保護系統的備份進行還原)下的唯一方式。由於金鑰的長度是由CryptoLocker所操縱,可以預見地,這些被加密的檔案無法暴力破解,在不付款的情況下解密檔案;相似的例子為2008年的蠕蟲病毒Gpcode.AK,使用的是1024位元的加密,相信這個加密程度太大,導致無法以分散式計算,或是發現漏洞的方式打破加密的內容[1][7][10][11]。賽門鐵克估計至少3%被感染的用戶會採用付款方式解決[5]。
2013年10月下旬,卡巴斯基報告其DNS陷阱已經建立完成,可以在部分域名用戶接觸到CryptoLocker時進行阻擋[12]。
變種
- Crypt0L0cker 類似CryptoLocker的勒索軟體
參考文獻
- ^ 1.0 1.1 1.2 1.3 1.4 1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. (原始内容存档于2013-11-17).
- ^ 2.0 2.1 2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. (原始内容存档于2013-10-30).
- ^ 3.0 3.1 3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. (原始内容存档于2016-11-10).
- ^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. (原始内容存档于2017-05-08).
- ^ 5.0 5.1 5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. (原始内容存档于2013-11-18).
- ^ 6.0 6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. (原始内容存档于2013-11-05).
- ^ 7.0 7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. (原始内容存档于2017-04-30).
- ^ 8.0 8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. (原始内容存档于2016-11-10).
- ^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. (原始内容存档于2016-03-14).
- ^ Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDnet. 6 June 2008 [25 October 2013]. (原始内容存档于2008-08-03).
- ^ Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 13 June 2008 [25 October 2013]. (原始内容存档于2016-03-03).
- ^ Cryptolocker Wants Your Money!. SecureList. Kapersky. [30 October 2013]. (原始内容存档于2013年10月29日).
外部連結
- Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013. Cisco Security Intelligence Operations Portal. San Jose, CA, USA: Cisco Systems. 2013-10-14 [2013-10-30]. (原始内容存档于2013-11-02).
- 查
- 论
- 编
- 2003年骤雨计划
- 2009年极光行动
- 2010年澳大利亚网络攻击(英语:February 2010 Australian cyberattacks)
- 2010年偿还行动(英语:Operation Payback)
- 2011年DigiNotar黑客入侵事件
- 2011年突尼斯行动(英语:Operation Tunisia)
- 2011年PSN个人信息泄露事件
- 2011年反安全行动(英语:Operation AntiSec)
- 2012–2013年斯特拉特福公司电邮泄露事件
- 2012年领英黑客入侵事件(英语:2012 LinkedIn hack)
- 2013年南韩网络攻击(英语:2013 South Korea cyberattack)
- 2013年Snapchat黑客入侵事件
- 2014年Tovar行动(英语:Operation Tovar)
- 2014年日本文殊核电站电脑病毒事件
- 2014年名人照片泄露事件
- 2014年心脏出血漏洞
- 2014年破壳漏洞
- 2014年贵宾犬漏洞
- 2014年索尼影业黑客入侵事件
- 2015年FREAK漏洞
- 2015年美国联邦人事管理局资料外泄案
- 伟易达集团
- 孟加拉银行遭黑客入侵事件
- Dyn网络攻击
- 俄羅斯干預美國總統選舉
- WannaCry勒索病毒
- 2017年威斯敏斯特网络攻击(英语:2017 Westminster cyberattack)
- Petya勒索病毒
- 2017年乌克兰受网络攻击事件(英语:2017 cyberattacks on Ukraine)
- Equifax数据泄露
- 德勤
- 熔毀/幽灵漏洞
- 美国中央情报局被指对中国大陆网络渗透攻击
- Zoom轟炸
- Twitter比特币骗局
- 2020年美国联邦政府数据泄露事件
- 殖民管道網絡攻擊
- Log4j2漏洞事件
- 2022年俄罗斯对乌克兰的网络攻击
- 2022年哥斯达黎加政府遭勒索软件攻击
- 上海公安數據庫泄露事件
- 2022年西北工业大学遭网络攻击事件
- 2023年美国五角大楼文件泄露事件
- 2024年角川与Niconico被入侵瘫痪
- 美国网络司令部
- 美国国家安全局特定入侵行动办公室
- 美国互联网犯罪投诉中心(英语:Internet Crime Complaint Center)
- 中华人民共和国国家计算机网络与信息安全管理中心
- 中国人民解放军网络空间部队
- 朝鲜网络部队(日语:北朝鮮サイバー軍)(朝鮮人民軍第121局)
- 叙利亚电子军(英语:Syrian Electronic Army)
- 日本网络防卫队(日语:自衛隊サイバー防衛隊)
- 国际打击网络威胁多边伙伴(英语:International Multilateral Partnership Against Cyber Threats)
- 欧洲网络犯罪中心(英语:European Cybercrime Centre)
- 中華民國數位發展部
- 中華民國國防部資通電軍指揮部
- 烏克蘭資訊科技軍
- 新加坡共和國數碼部隊
- 匿名者
- 乌克兰战争期间的行动(英语:Anonymous and the 2022 Russian invasion of Ukraine)
- 网络金雕(英语:CyberBerkut)
- Derp(英语:Derp (hacker group))
- Goatse安全(英语:Goatse Security)
- Hacking Team
- 蜥蜴小队(英语:Lizard Squad)
- LulzRaft(英语:LulzRaft)
- LulzSec
- NullCrew(英语:NullCrew)
- RedHack(英语:RedHack)
- TeaMp0isoN(英语:TeaMp0isoN)
- 地下纳粹(英语:UGNazi)
- 混沌计算机俱乐部
- 死牛崇拜
- 红客
- 韩国网络外交使节团
- L0pht重工
- 方程式
- 隱形人安全集團
- DarkSide
- APT 27
- 网络游击队
- 陳盈豪
- 约翰·德雷珀(英语:John Draper)
- 凯文·米特尼克
- 下村努
- 罗伯特·泰潘·莫里斯
- 凱文·波尔森
- 阿德里安·拉莫
- Donncha O'Cearbhaill(英语:Donncha O'Cearbhaill)
- 杰里米·哈蒙德(英语:Jeremy Hammond)
- 乔治·霍兹
- 古驰法(英语:Guccifer)
- 阿尔伯特·冈萨雷斯(英语:Albert Gonzalez)
- 赫克特·蒙赛格 (萨布)(英语:Hector Monsegur)
- 杰克·戴维斯 (绿色雕塑)(英语:Topiary (hacktivist))
- 小丑 (The Jester)(英语:The Jester)
- weev(英语:weev)
- 加里·麦金农(英语:Gary McKinnon)
- Careto (面具)(英语:Careto (malware))
- CryptoLocker
- Dexter(英语:Dexter (malware))
- 毒区(英语:Duqu)
- FinFisher(英语:FinFisher)
- 火焰
- Gameover ZeuS(英语:Gameover ZeuS)
- Mahdi(英语:Mahdi (malware))
- Metulji僵尸网络(英语:Metulji botnet)
- NSA ANT产品目录(英语:NSA ANT catalog)
- R2D2(英语:R2D2 (trojan))
- Shamoon(英语:Shamoon)
- Stars(英语:Stars virus)
- 震网
- 黑暗幽灵 (DCM)
- 震荡波蠕虫
- 手机恶意软件(英语:Mobile malware)
- TeslaCrypt
- VPNFilter
- WannaCry
- Petya
- 瑞晶
- peacenotwar(英语:peacenotwar)