FineArt News

資安新知

勒索軟體解決方案白皮書

勒索軟體為惡意程式的一種,其目的在於先造成受害者的電腦無法開啟檔案或磁碟(被加密),造成資料損失、影響作業,事後再向受害者進行索求比特幣,但是受害者即使付了贖金,也不一定能得到解密的工具。

或許無法依字面來理解到底檔案被加密而無法開啟會有什麼影響?那可以想像若是自己小孩十幾年下來的生活照都打不開來了,或者是與太太幾十年下來的點點滴滴的相片檔案都沒了,這樣是否會令人難過?又或者一個設計師透過AutoCAD畫了兩週的圖,明天即將要交件,突然被加密打不開,這樣是否令人憤怒?且可能影響公司營收與信譽。

這樣的事情已經發生在美國的醫院、警察局,造成醫院不得不先使用紙上作業取代電腦作業,警察局因為急於辦案,不得不立即支付贖金。又於2016年11月26日,舊金山的輕軌系統也因勒索軟體導致無法正常售票,當局後來決定不付贖金,改讓民眾免費搭乘,但大家可以想像,勒索軟體竟然也可以影響到民生,甚至國防。

過往的木馬、病毒、廣告軟體等,只要透過掃毒程式或上網找找SOP清除即可,因為那些木馬或病毒清除後就可以正常使用電腦了,但是勒索軟體則大不相同,即使已被清除,重要檔案卻已經失效無法挽回。

根據Fortinet統計勒索軟體2015年危害全球排名,台灣名列亞洲第十名;但是到了2016年的上半年,台灣排名已經前進到了亞洲第二名,僅次於日本。

感染途徑

根據趨勢科技全球技術支援與研發中心的統計,76%的勒索軟體是經由E-Mail所散布。這是一個使用者最容易接觸到的感染途徑,或許您會覺得公司有防火牆、防SPAM等系統會先幫您過濾掉,所以不用擔心,但是為什麼仍有員工依然被勒索?因為散佈者也知道公司會有這些防禦系統,所以會進行偽裝,例如偽裝成一封訂單郵件,採購人員收到此郵件後,看了合乎常理的內文,打開需要輸入密碼的ZIP檔案,將郵件內文中指定的密碼輸入後開啟了附件,因此就被植入了勒索軟體,這類偽裝的內文與上了密碼的壓縮檔可迴避防禦系統的檢查,同時也沒有一家防毒軟體可100%有效辨識與阻擋勒索軟體。

另外,還有8%是使用者透過瀏覽器上網,也是誤以為該網頁是安全的(偽造的網站)或是去了某個網站後被自動轉址開啟的,而該網頁中藏有php(PHP Web)、js(IIS Web)、python 等程式碼將勒索軟體安裝到使用者電腦。

最後16%是透過應用程式商店、遭感染的軟體、直接的駭客攻擊等等其他的管道被植入勒索軟體,從圓餅圖可以明顯看出各感染途徑的比例。


感染途徑示意圖:

ransomewarepath

 


動作形式

勒索軟體一旦安裝到您的電腦後,一般會進行以下幾種動作:

  1. 全硬碟型式的加密:
    目前這樣的案例較少,但這是最狠毒的,電腦重新開機後,無法正常進入作業系統,開機後會先看到勒索訊息例如右圖所示(圖片來自於Google搜尋),若不支付贖金,就只能電腦重灌、失去所有檔案與資料。
    RM1

  2. 檔案型式的加密:
    這類的行為模式最為常見,使用者可以正常使用電腦與上網(方便讓你操作電腦上網去支付贖金),勒索軟體將會把最常見的例如Office文件檔、PDF檔、圖片檔,甚至VDI、DWG…等直接進行加密,並在該目錄中留下訊息,告知您檔案已被加密,下一步該如何處理。右圖為精品於封閉環境下進行測試所截取的實際畫面,畫面中可以看出桌布已經被勒索軟體更換,且 該目錄的檔案名稱被加密後已變更(有些勒索軟體不會去變更檔名),勒索軟體加密完檔案後會自動開啟勒索訊息的圖片檔案。
    RM2

    點開資料夾裡的URL連結檔案,如附圖所示,會請您先安裝Tor瀏覽器後,再進行支付贖金的後續動作。
    安裝好Tor之後,可以看到綁匪還佛心來的提供多國語系,告訴您怎麼完成支付動作。
    RM3

    由測試環境呈現的畫面,可以看到被植入的是一支Locky的勒索軟體,但檔案型的勒索軟體並非只有Locky一種,且這類的勒索軟體的作者將持續製作變種,擴大感染對象。
    RM4
  3. 刺探系統漏洞,散佈勒索軟體。主動的在內網當中刺探其他電腦或主機的漏洞,並找出可以侵入的管道,以便讓其他電腦輕易的被植入勒索軟體,擴大災情。


防護方式

要有效防止勒索軟體所帶來的災害,有以下幾種機制相互配合,可有效降低減少損失。

  1. 防毒系統:這是第一線的過濾機制,若能在郵件進入使用者信箱前先進行第一道的掃描,可以濾除多數能讓使用者植入勒索軟體的郵件。另外部份的防毒廠商(例如Kaspersky)有提供解密特定勒索軟體的工具。但不可輕易下載來路不明的疑似解密工具,使用後可能造成二次傷害,讓電腦被另一種勒索程式感染或被植入其他的惡意程式、木馬等等。
  2. 防止勒索軟體將檔案加密:例如透過X-FORT可以將重要的文件放在磁碟中受到保護的目錄,只有指定的程式(例如Word、Excel、AutoCAD等)可以開啟裡面的檔案,其他未指定的不明程式將被拒絕存取。當電腦不幸感染到勒索軟體後,亦可提供安全有效的方式將保護目錄內的檔案取出。
  3. 定期進行檔案備份:選擇具有保護備份檔案機制的備份系統,定期將檔案備份,可降低遭全硬碟型勒索軟體加密後的損失,也預防硬碟故障帶來的損失。
  4. 對使用者教育訓練:提高使用者對於勒索軟體的認知,降低因認知不足、好奇心或不好的操作習慣所帶來的損害。