跳至主內容

小心勒索軟件「CryptoLocker」陷阱

發佈日期: 2013年10月11日 14199 觀看次數

近日,HKCERT 發現網絡出現一種勒索軟件 (ransom-ware),名為「CryptoLocker」。該惡意程式主要由釣魚電郵傳播,它會對用戶的電腦檔案和內聯網檔案進行加密,並要求用戶於限時內支付指定金額,以換取解密密鑰。由於受到影響的加密檔案暫時仍沒有有效的方法進行回復,這可能會造成嚴重影響。

 

圖1) 釣魚電郵截圖

圖1) 釣魚電郵截圖 

 

圖2) 勒索軟件索取贖金截圖

圖2) 勒索軟件索取贖金截圖

 

據了解,國外多個資訊保安網站和博客網站,相繼發現大量用戶反映中毒事件。該惡意程式「CryptoLocker」透過附帶有惡意程式檔案的電郵,進行傳播。當用戶打開該電郵附件,惡意程式將使用非對稱加密 (asymmetric encryption) RSA加密技術對電腦檔案和內聯網絡檔案進行加密。檔案類別包括:

 

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

 

加密後,惡意程式會彈出視窗,要求用戶於限時內支付指定金額(約 300美元或 300歐元或 2元 BitCoin),以換取解密密鑰,否則唯一的解密密鑰將被刪除。

 

圖3) 惡意程式截圖

圖3) 惡意程式截圖

 

截至目前,受到影響的加密檔案暫時仍沒有有效的方法進行回復。對於受感染的系統,這可能會造成嚴重影響。因此,HKCERT 提供以下建議:

  1. 注意可疑電郵,不要隨意打開電郵附件中的壓縮檔或執行檔
  2. 安裝保安程式及更新最近的保安定義 #
  3. 對於公司或進階用戶,你可以考慮修改「本機安全性原則」(Local Security Policy),以防止在 % AppData% 路徑 (CryptoLocker 的預設執行路徑) 下執行 exe 檔案。請參考:http://www.alaska.edu/files/oit/services/antivirus-phishing/How-to-Modify-Windows-Local-Security-Policy-CryptoLocker.pdf
  4. 對重要的檔案進行及時和定時備份。備份檔案應存放在安全的位置,避免受惡意程式影響。

對於已受惡意程式感染的用戶,HKCERT 有以下建議:

  1. 首先將受感染的電腦離線,防止惡意程式對內聯網絡造成影響。
  2. 從微軟下載 Microsoft Safety Scanner (http://www.microsoft.com/security/scanner/),並執行完整掃描,及清除惡意程式。
  3. 如果在感染惡意程式之前已為系統或數據建立備份,用戶可進行回復系統及數據。
  4. 如果系統沒有備份,我們建議用戶暫時不要重裝系統,以免令加密檔案記錄資料丟失。

 

# HKCERT 對此惡意程式樣本進行了分析,初步結果顯示大多數的保安軟件都能夠偵測到此惡意程式。請參考以下連結: