Ace Tsai's blog

Feed Rss

窮兇極惡的CryptoLocker

10.09.2013, 3C碎碎唸, by .

該怎麼形容這個東西呢?病毒?木馬?蟲?綁架軟體?(國外命名為ransomware)

這東西對某些人來說非常危險。

它發動時,會將你電腦內所有的相片、影片、文件檔進行RSA-2048的檔案加密,等『全部』的檔案都加密完成後,再跳出下面這個畫面:

e73ffe679d7b3e824aaeaf0729404cbb

會受影響的檔案類型:*.3fr  *.accdb  *.arw  *.bay  *.cdr  *.cer *.cr2  *.crt  *.crw  *.dbf  *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf  *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm  *.xlsx

首先,要知道幾件事:

1.加密是什麼?就把它想像成:將一篇文章用各種符號取代文字,要搭配密碼表後才能讀通意思。加密過的檔案,要配上正確的key才有辦法讀出資料。實務上常應用在企業資料保護政策。

2.RSA-2048 encryption是什麼?就想成最高等級的的加密就是了,key的組成是2048bit。

3.在沒有private key的狀況下,要用個人電腦破解加密,不是『不太可能』,而是『不可能』。

想像如果有一天,你的電腦中所有的影片、照片、文件,全都打不開了,該怎麼辦?

有定期完整備份的人其實沒什麼差。那沒備份的人呢?

很可怕的答案:你只有兩個選擇,一是付300塊美金給綁匪取得金鑰,二是跟你所有被加密又沒有備份的資料永別。

這東西機車在於:

1.會加密電腦中所有的會受影響的資料檔案

2.網路磁碟也不能倖免

3.要把它移除掉非常容易,但是加密的資料沒有key,就是解不開

4.在發作後,你有72小時的時間可以選擇付贖金取得加密金鑰,時間過了,金鑰就自動銷毁了

5.它會替你放一張桌布,告訴你說如果你成功移除了,但是發現救不回你的檔案時,你可以到哪裡下載到這該死的ransomware並重新安裝,付錢了事。(還真貼心啊………….)

我有幸(?)在這東西問世一個月左右後,就在咱們台灣島國上看到,是某I字母外商業務朋友(英文名為流行樂之王)的工作用筆電。也就是說,他被鎖了數百個甚或上千個需要備查的舊報價資料。

查了許多國外的論壇、部落格、防毒軟體公司網站,大部份的說法都一致,但很駭人:

1.這東西真他媽的好解。

2.加密的東西要自力救助解開加密的機率是0

3.照著軟體的指示,可以付300塊美金或歐元取得key解開加密,而且付錢他媽的真的能贖回肉票,不會撕票

4.有套panda的軟體,號稱可以解密,經許多人實測後,證實這東西無能為力。

5.可以用shadow explorer救回部份檔案,但是就只能是部份,而且極費工。

不知這東西現在各防毒軟體作好防堵了沒?

目前猜測,感染方式應該是透過郵件附件來感染,請大家小心。中了這東西,對於資料很重要又沒有備份的人而言,真的是會生不如死。

(其實也沒有那麼嚴重,付個9000台票就能了事。-_-)

這東西實在是太兇殘了,一次綁架所有對大多數人而言最重要的幾種檔案類型,就只給你三天時間決定要放棄資料還是要付錢。

對付政策,絕對不是安裝防毒軟體,而是頻繁地備份所有重要資料。誰知道幾時又會冒個防毒軟體抓不到的變種或新種出來。

 

總之,我無法想像如果哪個客戶中標,我只能無力地回答:請付贖金了事的那個場景。

希望大家都不要中標啊。

 

 

窮兇極惡的CryptoLocker 有 15 條回應

  1. 淺顯易懂的移除方式
    https://www.youtube.com/watch?v=-ZXv9_h08iE
    當然,不可能每一個人都會這一招,因此挑選具有HIPS的防毒相當重要
    在COMODO的D+面前,這個軟體是無效的

    回覆
  2. 為什麼我付錢了! 解碼一直顯示錯誤 他們會給錯嗎><

    回覆
    • 我朋友付贖金後 有成功解密所有檔案 只有一個他在測試panda時搬到別的位置的檔案解密失敗 在釋放過程中有出現找不到檔案的訊息 看來是檔案所在位置有記錄住 你是這種狀況嗎?

      回覆
  3. 非對稱式加密的金鑰長度不能直接跟對稱式的比
    根據維基百科
    RSA 2048 大約等於 112 bits 的對稱式金鑰
    當然,這目前也不是正常電腦有辦法解密的

    回覆
  4. 看來只能CIA解開了..號稱加密都能解的單位

    回覆
  5. 引用照片裡看起來是100美金或歐元啊,另外,只要有金額的流通,就應該有帳戶可以稽查,很難抓嗎?

    回覆
    • 照片是上巿版 上巿時是100塊 後來調漲成300塊了 我並沒有從張胖子電腦抓圖 是網路隨便抓的 有些中文站直接拿這張圖去用 我也不好說啥 大家都是盜圖 確定是300塊就是了 至於金流的部份 由於都是外幣的支付方式 所以追查難易度我不清楚 至少我知道bitcoin是很難抓的就是了 要抓也不是我能抓的 報案則因為不是我自己中 我也沒法報 我只是想公佈目前付款是唯一取回全部未備份的資料的方式而已
      犯罪行為當然不值得鼓勵或歌頌 但考慮到可能會有些重要資料遭綁架的人浪費時間在試用panda解密 而錯失付錢贖回的72小時時限 我還是決定明確地提供目前這個該死的答案給中文使用者

      回覆
  6. 2013-10-14 在 04:47 polo sin

    mac會中招嗎?

    回覆
  7. 可以考慮花90萬顧殺手找到並幹掉寫這個程式的人,槍殺另外加價,使用.50口徑子彈另外加價。

    回覆

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *