史上最狠毒!勒索軟體入侵臺灣

勒索軟體CryptoLocker大舉入侵臺灣，高科技、傳統製造業、流通業者均有企業傳出災情，至少20家臺灣企業受害，用高超技術加密受害者電腦，導致檔案無法使用，更限期3天支付贖金，不付錢則毀損解密金鑰，檔案永遠救不回來

9月初，一隻名為CryptoLocker的勒索軟體（Ransomware）開始出現蹤跡，它會悄悄地將受害者電腦裏的檔案加密，讓使用者無法開啟檔案，也沒辦法破解加密，藉此勒索9,000元（300美元）的解密贖金。

一個月之後，CryptoLocker的攻擊範圍開始擴大。全球各地自10月起陸續湧出災情，受害者越來越多，國外媒體甚至估計有上百萬臺電腦淪陷。

有些受害的企業，因為多臺電腦一起被攻擊，以至於許多重要檔案一夕間都無法使用，面臨要付贖金給惡棍或是放棄檔案的兩難。

在無國界的網際網路世界中，臺灣也無法倖免於難。10月中旬開始有企業受害的事件浮現，也有不少人透過網路反應遭遇CryptoLocker攻擊。資安廠商趨勢科技在這段時間也接獲將近20家企業通報受害，趨勢科技資訊技術顧問簡勝財表示，其中包括高科技業、傳統產業、運通業等公司，而受害電腦的數量大約在1至5臺不等。

CryptoLocker是透過典型的社交工程來散播惡意程式，像是釣魚信件、聊天工具或惡意網站等。釣魚信件則是仿冒成知名的物流或是金融公司，如FedEx、UPS、DHC等，並夾帶暗藏惡意軟體的壓縮檔附件，附件檔的名稱還刻意偽裝成「xxxxxxxx.pdf.exe」，因作業系統隱藏副檔名的緣故，讓使用者誤以為是PDF文件檔，點選附件檔案而感染電腦。

一旦電腦中毒之後，CryptoLocker會自行複製到作業系統的「%AppData%」目錄下，以亂數命名檔名，讓人不易察覺，並且會在Windows的註冊檔中加入自動執行的項目「HKEY_CURRENT_USER\Software\CryptoLocker」，因而在電腦開機後即自動執行。

接著，CryptoLocker會開始搜尋網路上的C&C（Command and Control）控制伺服器。駭客為了隱匿C&C控制伺服器的蹤跡，透過動態網域產生演算法（Domain Generation Algorithm，DGA），產生一堆以亂數命名的網址名稱，如「qwmgiyhuklldlw.com」、「ppdnpqqknffpbb.biz」等毫無意義的網址名稱。而CryptoLocker會以此演算法搜尋網路上的C&C控制伺服器，一旦找到可以連線的伺服器，就送出用戶端電腦的識別號碼，由C&C控制伺服器據此產生加密使用的公鑰（Public Key）與私鑰（Private Key）。

解密金鑰握在駭客手裏，受害者不可能自行解密
CryptoLocker會下載加密使用的公開金鑰，並將公鑰及其他資訊儲存至Windows登錄檔中，至於私鑰則留在C&C控制伺服器。

在獲得公鑰之後，CryptoLocker便會掃描受害者電腦所連結的磁碟機，包括本機的硬碟、連結電腦的USB磁碟、網路芳鄰磁碟機、雲端硬碟、檔案伺服器的檔案等等，只要被CryptoLocker尋線找到，都有可能被加密。

CryptoLocker會搜尋數十種類型的檔案，找到欲破壞的目標檔案類型，便以公鑰進行加密，並且混用AES與2,048位元的RSA這2種高等級的加密技術，將檔案全數加密，導致檔案無法存取， 並將被加密的檔案列表儲存至Windows登錄檔中（HKEY_CURRENT_USER\Software\CryptoLocker\Files）。

在CryptoLocker完成所有檔案加密之後，受害者的電腦就會跳出要求支付贖金的勒索畫面。駭客限期3天內，必須支付9,000元贖金，否則，時間一到C&C控制伺服器就會自動銷毀可以解密的私鑰，也就代表受害者被加密的檔案，自此將無法被解密。若受害者在支付贖金時輸入錯誤金額，這個勒索軟體甚至會加快倒數計時。而付款方式則採Bitcoin虛擬貨幣，以及MoneyPak、Ukash、cashU等匿名交易機制。

CryptoLocker所採用的公鑰與私鑰的加密方式，是目前業界公認最安全的加密機制──公開金鑰架構（Public-key Infrastructure，PKI），由公鑰來加密，以私鑰來解密。只要資料保管者緊握私鑰，不要被他人取得，那麼資料的保密就有如銅牆鐵壁。多數資安專家皆表示，若要以暴力破解方式解密，不僅需要付出代價相當高的運算成本，還要花上30年才解得開密碼。在背後操縱CryptoLocker的駭客一旦掌控了解密私鑰，基本上使用者是不可能有破解的機會。

這個勒索軟體不僅狠毒，甚至非常囂張。如果使用者是在中毒之後才找到方法移除CryptoLocker惡意程式，或是防毒軟體自動移除了，在重新開機之後，電腦的桌面會立即跳出警告畫面，告知該程式已偵測到使用者解除CryptoLocker程式，而將導致無法完成解密，因為即使付了贖金要解密，還得靠這個程式與C&C控制伺服器取得私鑰，也只有CryptoLocker才可以進行解密。駭客甚至在這個警告畫面中，留下CryptoLocker惡意程式的下載網址。

企業面對CryptoLocker的因應與自保之道
CryptoLocker肆虐全球，受害者無法自行解密，企業必須養成使用者良好的資安觀念與使用習慣，定期備份，才能將威脅降至最低

受害後盡快切換網路連線，檢查交換器流量，縮小受害範圍

3種檔案復原方式，備份檔案，Windows內建系統還原

與Shadow Explorer

走投無路的最後一個辦法，支付贖金

人才是資安最大風險，企業應加強宣導，強化資安意識

《詳細內文請見iThome電腦報631期（www.ithome.com.tw），天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》

631期其他精采內容：
．新聞：一周大事回顧 10/16~10/22
．新聞：賽門鐵克：半數行動用戶沒啟用基本防護
．新聞：HP推出首款Ultrabook工作站
．CEO看IT：加值氣象開放資料，創造新的商業價值
．IT經理人開講：資策會全面釋放IT創意與能力，決心把IT催生成社交型組織
．產品報導：備份軟體：Veeam Backup & Replication 7