HKCert
保安博錄

勒索軟件變種來襲 認清以防感染

發布日期: 28 / 09 / 2018
最後更新: 09 / 11 / 2018

近半年來,香港電腦保安事故協調中心收到多宗勒索軟件感染個案,有上升趨勢。其中感染宗數最多的勒索軟件是Cerber,另外GlobeImposter,CrySiS和GandCrab也是感染宗案較多的勒索軟件。感染勒索軟件的電腦大部分是企業電腦及伺服器,可見最近的勒索軟件攻擊是面向企業為主的。

 

本中心對這四款勒索軟件的傳播途徑、感染特徵和可解密版本進行了分析調查。

 

勒索軟件最新版本號勒索信息加密文件副檔名主要傳播途徑可解密版本*
CerberV8要求受害者通過Tor瀏覽器購買“Cerber Decryptor”解密。V1-V3為.cerber,
V4開始為4位隨機字符,之後隨機字符位數與代數相同
郵件惡意附件,網頁惡意廣告,含有惡意軟件的合法程式,利用Apache Struts 2漏洞入侵。Cerber V1
GlobeImposter3.0被加密的文件目錄會有”HOW_TO_BACK_FILES.txt”的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。1.0版本常見為“.CHAK”,
2.0版本常見為“.TRUE”,“.doc”,
3.0版本常見為“.Tiger4444”,“.Ox4444”
郵件惡意附件,掃描滲透,暴力破解Windows遠端桌面服務(RDP)入侵。GlobeImposter 1.0
CrySIS副檔名為.arrow的版本被加密的文件目錄會有“FILES ENCRYPTED.txt”,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。常見為“.java”,
“.arena”,
“.bip”,
“.arrow”
暴力破解Windows遠端桌面服務(RDP)入侵。無確定版本。
GandCrabV5要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。V1為“.GDCB”
V2-V3為“.CRAB”
V4為 “.KRAB”,
V5為隨機副檔名
郵件惡意附件或連結,含有惡意軟件的合法程式,暴力破解Windows遠端桌面服務(RDP)入侵,暴力破解Tomcat Manager後台入侵。GandCrab V1、V4和V5

 

*你可以在以下網頁下載解密工具。香港電腦保安事故協調中心不保證工具可以成功恢復文件。*

https://www.nomoreransom.org/en/decryption-tools.html

 

在本中心收到的感染個案中,個人用戶電腦感染宗數無明顯增加,企業電腦及伺服器的感染宗數呈明顯上升趨勢。經過對四款勒索軟件的主要傳播途徑進行分析調查,我們認為黑客在勒索軟件新的變種中增加針對企業電腦及伺服器的入侵方法是主要原因。個人用戶電腦感染到勒索軟件主要是因為打開了郵件惡意附件或連結,網頁惡意廣告或者含有惡意軟件的合法程式。而目前新的勒索軟件變種不只限於以上三種傳播方式,增加了暴力破解入侵及利用漏洞入侵等手段。

 

針對企業電腦及伺服器,勒索軟件變種有兩類常見的傳播模式。其中一種是以日常使用的企業個人電腦為突破口,利用欺詐郵件等方式誘使受害人打開惡意附件從而感染勒索軟件,在電腦被感染後,勒索軟件會尋找區域網內開啟Windows遠端桌面服務(RDP)的電腦,通過暴力破解密碼入侵。因為企業中的伺服器通常會開啟該服務,所以使用簡單RDP密碼的伺服器會成為攻擊目標。另一種傳播模式是以伺服器為突破口,勒索軟件通過利用漏洞或者暴力破解伺服器網上應用系統後台入侵,感染伺服器后再向區域網內其他電腦傳播,擴大感染範圍。

 

通過分析可見,現在黑客為提高獲得贖金的成功率,會主要攻擊儲存了重要文件的企業或公共機構的伺服器,並且會通過多種方式傳播,所以企業及公共機構需要加強伺服器的保安及員工的資訊保安意識。本中心最近編制了一份《中小企網絡安全七大攻略》可供參考,目前正在連載中,可瀏覽以下網頁:

https://www.hkpc.org/zh-HK/corporate-info/media-centre/media-focus

 

如果感染了勒索軟件,可參考本中心編制的《勒索軟件解密指引》進行解密:
https://www.hkcert.org/my_url/zh/guideline/18092701
 

了解如何預防勒索軟件,可瀏覽以下網頁:
https://www.hkcert.org/ransomware.hk/ransomware-basic_zh.html
 

關於勒索軟件的更多資料可以在這裡找到:
https://www.hkcert.org/ransomware.hk/