HKCert
保安博錄

勒索軟件新趨勢

發布日期: 30 / 12 / 2019
最後更新: 30 / 12 / 2019

勒索軟件是危害性及傳播性最大的網絡保安威脅之一,通過加密用戶設備上的文件,並要脅用戶繳納贖金才可解密。本中心一直持續關注勒索軟件的趨勢,並向我們求助的用戶提供保安建議。

近期我們留意到學校遭受勒索軟件攻擊的案例有輕微增加,其中有個案是過百台設備受到感染。另外,又發現有針對網絡存儲設備(NAS)的新型攻擊方式,黑客通過掃描IP地址範圍以搜索可連接互聯網的網絡存儲設備,再利用設備的漏洞進行攻擊。因為網絡存儲設備通常存儲大量文件及數據備份,當受到勒索軟件感染,將會造成大量的數據損失。

2018年9月,本中心出版過一篇《勒索軟件變種來襲 認清以防感染》的保安博客,對當時感染宗數較多的四個勒索軟件 Cerber 、Crysis 、GandCrab 和 GlobeImposter 進行了分析,包括其傳播途徑、感染特徵、可解密版本、副檔名及勒索信息。今年,本中心留意到這四個勒索軟件已經變種,同時亦發現多個新種類,並分析了其中三個今年感染宗數較多或使用了新型攻擊方式的勒索軟件,分別是 Muhstik 、Sodinokibi / Nemty 和 STOP 。詳細分析可參閱附錄。

在資訊保安從業者的努力下,陸續破解多個勒索軟件和推出解密工具。被勒索軟件感染的用戶可通過對比副檔名及勒索信息,來確定勒索軟件的種類,從而找到可用的解密工具。對於附錄列表中沒有收錄的勒索軟件,用戶可以嘗試到 No More Ransom* 的解碼警長頁面,上傳被加密的文件及提供有關資料,譬如在勒索訊息中所看到的電子郵件、網站網址、洋蔥網路網址或比特幣網址,找出勒索軟件的種類。但注意,並不是每種勒索軟件都有解密工具,而解密工具亦未必能成功復原檔案,這樣除了使用離線備份檔案復原外,目前沒有其他解決辦法。另外,請勿使用網上未經認證的解密軟件,以防感染其他惡意軟件。

為減低感染勒索軟件的風險,用戶應做好保安防禦,本中心建議用戶:

  1. 注意可疑電郵,不要隨意打開電郵附件,特別是壓縮檔 (zip 檔案) 或執行檔 (exe 檔案) 。
  2. 安裝保安程式及更新相關的安全定義檔案。
  3. 更新系統及軟件,例如 Microsoft Windows 、Office 、Adobe 閱讀器、Flash 播放器等,以修補保安漏洞,防止受惡意程式利用。
  4. 盡量減少擁有域名管理權限的用戶,限制攻擊的範圍和影響,並在日常操作中使用普通帳戶。
  5. 對重要的檔案進行及時和定時備份。備份檔案應離線存放在安全位置,避免受惡意程式影響。
  6. 若使用雲端備份,請確認雲端服務提供版本紀錄 (version history) 功能。即使受影響的檔案已同步到雲端,這功能可以回復檔案到之前版本。

如果感染勒索軟件,本中心建議的處理方法包括:

  1. 首先將受感染的電腦離線,防止惡意程式對內聯網絡檔案造成影響。
  2. 下載合法的清理軟件,並執行完整掃描,及清除惡意程式。
  3. 如果在感染惡意程式之前已為系統或數據建立備份,用戶可進行回復系統及數據。
  4. 如果系統沒有備份,我們建議用戶暫時不要重裝系統,以免令加密檔案記錄資料丟失。
  5. 參考本中心編制的《勒索軟件解密指引》進行解密。
  6. 向 HKCERT 查詢或尋求協助。

*你可以在以下網頁識別勒索軟件和下載解密工具。香港電腦保安事故協調中心並不保證工具可以成功復原文件。*
https://www.nomoreransom.org/zht_Hant/index.html

 

附錄

勒索軟件最新版本號勒索信息加密文件副檔名主要傳播途徑可解密版本*
Cerber/MagniberMagniber要求受害者通過Tor瀏覽器購買「Cerber/My Decryptor」解密。V1-V3為 「.cerber」,其餘為多位隨機字符。惡意電郵附件,惡意網頁廣告,含有惡意軟件的合法程式,利用Apache Struts 2漏洞入侵,利用Magnitude 漏洞,利用工具包入侵。

Cerber V1

[解密工具連結]

CrySIS/Dharma/Phobos副檔名為.phobos的版本被加密的文件目錄會有 「FILES ENCRYPTED.txt」,顯示黑客的聯繫方式,要求受害者按照黑客提供的聯繫方式交付贖金。常見為「.java」、「.arena」、「.bip」、「.phobos」。暴力破解Windows遠端桌面服務(RDP)入侵。

部分副檔名有解密工具。

[解密工具連結1]

[解密工具連結2]

GandCrabV5.2要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。V1為 「.GDCB」;
V2-V3為 「.CRAB」;
V4為 「.KRAB」;
V5為隨機副檔名。
惡意電郵附件或連結,含有惡意軟件的合法程式,暴力破解Windows遠端桌面服務(RDP)入侵,暴力破解Tomcat Manager後台入侵。

GandCrab V1、V4和V5最新至V5.2

[解密工具連結]

GlobeImposter4.0被加密的文件目錄會有「HOW_TO_BACK_FILES.txt」或者「how_to_back_files.html」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。1.0版本常見為 「.CHAK」;
2.0版本常見為 「.TRUE」、 「.doc」;
3.0版本常見為 「.十二生肖+4444」、 「.十二主神+666」;
4.0版本常見為「. auchentoshan」。
惡意電郵附件,掃描滲透,暴力破解Windows遠端桌面服務(RDP)入侵。

GlobeImposter 1.0

[解密工具連結]

Muhstik-要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。副檔名為 「.muhstik」。利用web伺服器、NAS的漏洞入侵。

ID在以下密鑰列表中的設備可以解密。

[密鑰列表連結]

[解密工具連結]

Sodinokibi/Nemty-Sodinokibi的勒索信息是藍屏畫面背景,Nemty的勒索信息是[加密副檔名]-DECRYPT.txt。要求受害者通過Tor瀏覽器訪問指定網頁交付贖金。Sodinokibi的為隨機副檔名,Nemty的副檔名為「.nemty」。使用Gandcrab傳播途徑,利用零日漏洞入侵。

Sodinokibi暫無解密工具。
Nemty特定版本加密的部分文件類型可被解密。

[解密工具連結]

STOP-被加密的文件目錄會有「_openme.txt」或者「_readme.txt」的文件,顯示受害者的個人ID序列號以及黑客的聯繫方式,要求受害者將ID序列號發送到黑客郵箱,再根據步驟交付贖金。常見為 「.puma」、「.pumas」、「.coharos」、「.STOP」。惡意電郵附件,惡意網頁廣告,含有惡意軟件的合法程式。

部分副檔名有解密工具。

[解密工具連結]