該怎麼形容這個東西呢?病毒?木馬?蟲?綁架軟體?(國外命名為ransomware)
這東西對某些人來說非常危險。
它發動時,會將你電腦內所有的相片、影片、文件檔進行RSA-2048的檔案加密,等『全部』的檔案都加密完成後,再跳出下面這個畫面:
會受影響的檔案類型:*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2 *.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx
首先,要知道幾件事:
1.加密是什麼?就把它想像成:將一篇文章用各種符號取代文字,要搭配密碼表後才能讀通意思。加密過的檔案,要配上正確的key才有辦法讀出資料。實務上常應用在企業資料保護政策。
2.RSA-2048 encryption是什麼?就想成最高等級的的加密就是了,key的組成是2048bit。
3.在沒有private key的狀況下,要用個人電腦破解加密,不是『不太可能』,而是『不可能』。
想像如果有一天,你的電腦中所有的影片、照片、文件,全都打不開了,該怎麼辦?
有定期完整備份的人其實沒什麼差。那沒備份的人呢?
很可怕的答案:你只有兩個選擇,一是付300塊美金給綁匪取得金鑰,二是跟你所有被加密又沒有備份的資料永別。
這東西機車在於:
1.會加密電腦中所有的會受影響的資料檔案。
2.網路磁碟也不能倖免。
3.要把它移除掉非常容易,但是加密的資料沒有key,就是解不開。
4.在發作後,你有72小時的時間可以選擇付贖金取得加密金鑰,時間過了,金鑰就自動銷毁了。
5.它會替你放一張桌布,告訴你說如果你成功移除了,但是發現救不回你的檔案時,你可以到哪裡下載到這該死的ransomware並重新安裝,付錢了事。(還真貼心啊………….)
我有幸(?)在這東西問世一個月左右後,就在咱們台灣島國上看到,是某I字母外商業務朋友(英文名為流行樂之王)的工作用筆電。也就是說,他被鎖了數百個甚或上千個需要備查的舊報價資料。
查了許多國外的論壇、部落格、防毒軟體公司網站,大部份的說法都一致,但很駭人:
1.這東西真他媽的好解。
2.加密的東西要自力救助解開加密的機率是0。
3.照著軟體的指示,可以付300塊美金或歐元取得key解開加密,而且付錢他媽的真的能贖回肉票,不會撕票。
4.有套panda的軟體,號稱可以解密,經許多人實測後,證實這東西無能為力。
5.可以用shadow explorer救回部份檔案,但是就只能是部份,而且極費工。
不知這東西現在各防毒軟體作好防堵了沒?
目前猜測,感染方式應該是透過郵件附件來感染,請大家小心。中了這東西,對於資料很重要又沒有備份的人而言,真的是會生不如死。
(其實也沒有那麼嚴重,付個9000台票就能了事。-_-)
這東西實在是太兇殘了,一次綁架所有對大多數人而言最重要的幾種檔案類型,就只給你三天時間決定要放棄資料還是要付錢。
對付政策,絕對不是安裝防毒軟體,而是頻繁地備份所有重要資料。誰知道幾時又會冒個防毒軟體抓不到的變種或新種出來。
總之,我無法想像如果哪個客戶中標,我只能無力地回答:請付贖金了事的那個場景。
希望大家都不要中標啊。
窮兇極惡的CryptoLocker 有 15 條回應