Ace Tsai's blog

Feed Rss

窮兇極惡的CryptoLocker

10.09.2013, 3C碎碎唸, by .

該怎麼形容這個東西呢?病毒?木馬?蟲?綁架軟體?(國外命名為ransomware)

這東西對某些人來說非常危險。

它發動時,會將你電腦內所有的相片、影片、文件檔進行RSA-2048的檔案加密,等『全部』的檔案都加密完成後,再跳出下面這個畫面:

e73ffe679d7b3e824aaeaf0729404cbb

會受影響的檔案類型:*.3fr  *.accdb  *.arw  *.bay  *.cdr  *.cer *.cr2  *.crt  *.crw  *.dbf  *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf  *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm  *.xlsx

首先,要知道幾件事:

1.加密是什麼?就把它想像成:將一篇文章用各種符號取代文字,要搭配密碼表後才能讀通意思。加密過的檔案,要配上正確的key才有辦法讀出資料。實務上常應用在企業資料保護政策。

2.RSA-2048 encryption是什麼?就想成最高等級的的加密就是了,key的組成是2048bit。

3.在沒有private key的狀況下,要用個人電腦破解加密,不是『不太可能』,而是『不可能』。

想像如果有一天,你的電腦中所有的影片、照片、文件,全都打不開了,該怎麼辦?

有定期完整備份的人其實沒什麼差。那沒備份的人呢?

很可怕的答案:你只有兩個選擇,一是付300塊美金給綁匪取得金鑰,二是跟你所有被加密又沒有備份的資料永別。

這東西機車在於:

1.會加密電腦中所有的會受影響的資料檔案

2.網路磁碟也不能倖免

3.要把它移除掉非常容易,但是加密的資料沒有key,就是解不開

4.在發作後,你有72小時的時間可以選擇付贖金取得加密金鑰,時間過了,金鑰就自動銷毁了

5.它會替你放一張桌布,告訴你說如果你成功移除了,但是發現救不回你的檔案時,你可以到哪裡下載到這該死的ransomware並重新安裝,付錢了事。(還真貼心啊………….)

我有幸(?)在這東西問世一個月左右後,就在咱們台灣島國上看到,是某I字母外商業務朋友(英文名為流行樂之王)的工作用筆電。也就是說,他被鎖了數百個甚或上千個需要備查的舊報價資料。

查了許多國外的論壇、部落格、防毒軟體公司網站,大部份的說法都一致,但很駭人:

1.這東西真他媽的好解。

2.加密的東西要自力救助解開加密的機率是0

3.照著軟體的指示,可以付300塊美金或歐元取得key解開加密,而且付錢他媽的真的能贖回肉票,不會撕票

4.有套panda的軟體,號稱可以解密,經許多人實測後,證實這東西無能為力。

5.可以用shadow explorer救回部份檔案,但是就只能是部份,而且極費工。

不知這東西現在各防毒軟體作好防堵了沒?

目前猜測,感染方式應該是透過郵件附件來感染,請大家小心。中了這東西,對於資料很重要又沒有備份的人而言,真的是會生不如死。

(其實也沒有那麼嚴重,付個9000台票就能了事。-_-)

這東西實在是太兇殘了,一次綁架所有對大多數人而言最重要的幾種檔案類型,就只給你三天時間決定要放棄資料還是要付錢。

對付政策,絕對不是安裝防毒軟體,而是頻繁地備份所有重要資料。誰知道幾時又會冒個防毒軟體抓不到的變種或新種出來。

 

總之,我無法想像如果哪個客戶中標,我只能無力地回答:請付贖金了事的那個場景。

希望大家都不要中標啊。

 

 

窮兇極惡的CryptoLocker 有 15 條回應

發佈回覆給「Ace Tsai」的留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。