電玩/軟體 史上最狠毒勒索軟體肆虐臺灣

[soothepain]

近日，有一支名為CryptoLocker的勒索軟體（Ransomware）現蹤臺灣，企業陸續傳出受害災情，該軟體透過釣魚郵件入侵，會將受害者電腦的檔案全數加密，導致檔案無法存取，而且駭客採用高超的加密技術，讓受害者無法自行復原，並限期3天支付9,000元贖金，否則將毀損解密金鑰，受害者苦不堪言。

臺灣McAfee技術經理沈志明表示，被加密的檔案，因為私鑰（Private Key）掌握在駭客手裡，基本上使用者不可能自行破解。若是真的要暴力破解，需要運算資源等代價相當高。

CryptoLocker是透過釣魚郵件傳播，使用者若是誤擊CryptoLocker程式，電腦或是網路硬碟中若是存有CryptoLocker破壞的目標檔案類型，這些檔案就會全數被加密，CryptoLocker使用的2種加密方式，分別是2,048位元的RSA加密技術和AES加密技術。



綁架日常生活中常用的電腦檔案類型，贖金要價9千元

該惡意軟體完成加密之後，使用者的電腦畫面，就會跳出支付贖金來換取檔案解密的倒數通知，CryptoLocker要求被害者在72小時之內，支付300美元贖金（約9,000臺幣）。否則，只要時間一到，就會銷毀能夠解密的金鑰。

之所以會被稱為最欠扁的惡意程式，除了CryptoLocker運作模式如勒索案之外，CryptoLocker一次綁架我們日常生活中，最常使用的檔案類型，像是微軟文件格式如Excel、Word、PPT，以及JPG圖檔、PDF等，設想一旦公司文件、自己的照片影片全數無法開啟，若是無法自行解密，又沒有定期備份，這些珍貴的檔案可說是一去不復返。



多數防毒軟體皆可攔阻，一旦受害立刻拔除網路

Sophos臺灣區技術經理詹鴻基表示，目前市面上多數的防毒軟體都已經可以偵測到這支勒索軟體，使用者無須過度擔憂，即便不慎點選惡意連結，防毒軟體也會偵測到，讓它無法安裝。

根據目前已經受害的案例，資安專家們建議，一旦使用者發現電腦受到CryptoLocker感染，第一個動作就是斷絕網路連線，盡早中斷加密程序，也可避免CryptoLocker對內網的其他電腦造成威脅。

被感染的電腦，若有定期備份，還可從備份中找到最新版的資料，若是沒有定期備份，可嘗試使用Shadow Explorer軟體復原檔案，不過，僅能回覆部分內容，而且過程相當繁瑣費工，這套軟體僅適用Windows XP SP2以上的版本。

為了回復檔案，受害者最後的選擇，就是支付贖金，使用者亦可從BIOS中將系統時間往前調整，為自己爭取最後一搏的機會。根據已經支付贖金的受害者指出，駭客會在3～4小時內確認款項，然後開始解密，解密過程則依據檔案大小、內容，所需的時間長短不一。

根據McAfee發布的2013年第二季安全威脅報告，可以發現勒索軟體在今年大量出現，2012年第四季被發現的勒索數量不到10萬支，今年第一季則增加至15萬支，第二季更是32萬支，沈志明表示，勒索軟體的數量一直都很多，但從今年開始，數量呈現倍數增長的幅度。

由此可見，使用者必須更謹慎提防釣魚信件中的檔案，平常也要養成資料定期備份的習慣。


來源：http://www.ithome.com.tw/itadm/article.php?c=83212

 

[agnusdei0717]

感謝分享資訊

 

[authenticamd]

病毒行為：
1. 將自己複製後置放到下列目錄下：
%Application Data%\{隨機字母的檔案名稱}.exe
(注意: %Application Data% 是目前用戶的Application Data資料夾，在Windows 2000、XP、Server 2003中通常為C:\Documents and Settings\{帳號名稱}\Application Data，在Windows 7及以上版本作業系統中通常為 C:\Users\{user name}\AppData\Roaming.)。
2. 避免自己重複執行。
3. 會在機碼中添加自動啟動項目。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = "%Application Data%\{隨機檔案名稱}.exe"。
4. 會新增以下登錄值：
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files

其中子目錄「Files」中列出的是已被加密的檔案列表

5. 該病毒會連接以下網域以獲取加密的金鑰：
gktibioivpqbot.net
mlernipmrlrnjj.com
lnjaadfliwshke.info
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz
這些網域中任意個可連接的網址最終會指向IP位址 93.189.44.187 的伺服器。。
6. 在獲取加密金鑰後以下類型檔案將被加密：
*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2 *.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx
7. 勒索者接受以下付款方式：
Bitcoin
cashU
MoneyPak
Ukash
防護措施：
1. 從閘道處阻止連接惡意網址（上述第五項中之網域及IP）；
2. 保持防毒軟體病毒碼更新至最新；
3. 請勿隨意點閱來源不明的郵件附件；
4. 請勿隨意接收並執行聊天工具中發送的檔案（包括圖片檔或office檔案）；
5. 請勿隨意瀏覽未知的國外網站，尤其是情色網站或多媒體下載網站；
6. 請定期備份重要檔案。

以上是來自TRENDMICRO(趨勢科技)的說明，僅供參考。;face12;

 

[bats]

感謝S大的分享與A大的補充說明

以我接觸到的客戶來說
很多人都是
1.防毒灌了,但沒更新病毒碼
2.瀏覽大陸網站,許多大陸網站會要求使用者安裝東西才能瀏覽,通常那些額外安裝的都是惡意軟體
3.微軟的重大系統更新沒有安裝
4.下載來路不明的軟體並且安裝

只能說有些使用者會中毒是因為不當的使用方式造成的 = =

 

[hgman]

如果有匯錢的話,沒道理查不出是誰放的毒

 

[bats]

基本上這樣高等級的病毒與綁架系統的方式
所採用匯款系統八成都是人頭戶或是跳板
就算想追也會中途斷了線索

有辦法綁架你的系統
並且讓你匯款
就有辦法讓你追不到上游

 

[dog2083]

感謝分享，真是變態的軟體

 

[light涅梟]

感謝分享 也請大家一起注意~

 

[TAS]

感謝S大的分享與A大的補充說明

以我接觸到的客戶來說
很多人都是
1.防毒灌了,但沒更新病毒碼
2.瀏覽大陸網站,許多大陸網站會要求使用者安裝東西才能瀏覽,通常那些額外安裝的都是惡意軟體
3.微軟的重大系統更新沒有安裝
4.下載來路不明的軟體並且安裝

只能說有些使用者會中毒是因為不當的使用方式造成的 = =

就是手賤嘛...活該...

自己要當羔羊怨不得別人...

 

[august88]

電腦病毒再進化

不花錢就砍檔案, 高招!!

只是錢要怎樣匯阿