CryptoLocker是一种感染Windows平台的
勒索软件。该软件在感染计算机之后,会自动锁定计算机的
桌面(使用户无法操作计算机),并自动加密所有的文档数据,导致用户无法正常访问自己的文档数据。软件提供了72小时之内付费解除加密状态的功能,用户需要在72小时之内通过
比特币、MoneyPak或
Ukash三种方式付费才能够解除文档加密状态,如果超出时间,网站就会销毁秘钥,用户的文档就不能够重新找回。
简介
CryptoLocker是一种于2013年下半年出现的特洛伊木马,以
勒索软件的形式出现的
恶意软件,以
Microsoft Windows操作系统为主要攻击目标,所派生的变种也向
Linux等操作系统及特定厂牌的网络存储设备(NAS)攻击。CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式文件;如果被活化,该恶意软件就会使用
RSA公钥加密与
AES秘钥的形式,加密本地与内部网络的特定类型文件;而私人密钥则把持在恶意软件所控制的服务器上。该蠕虫会显示一则消息,表示如果在规定的期限进行付款(经由
比特币或其他储值管道),就能够解密这些文件,否则私人密钥将会被销毁,再也不能打开这些文件。如果该期限不匹配,该恶意软件还会提供一个由恶意软件控制的线上服务提供解密,但要付出高额的比特币。
即使CryptoLocker本身很容易清除,但是这些已经被加密的文件,对于研究者而言是无法被解开的。部分研究者认为如果不付款给勒索者,就没有其他方法能够解密这些文件;另外的研究者则说付款给勒索者是唯一能在不备份的情形下,让文件解密的方法。
运作
CryptoLocker通常会以电子邮件附件的类型,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行发送,或是经由
僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件,通常是使用伪装的PDF文件附档名与文件名称,利用Windows系统当中的文件扩展名规则,掩饰真正的
EXE扩展名形式文件。部分情况下则会实际含有
宙斯特洛伊木马病毒,以进行安装CryptoLocker。首次启动时,
有效负载会以随机的名称,自行安装于
我的文档,并于注册表登录一个编码,会导致于引导时启动。然后,该恶意软件会尝试连接被勒索者所控制的服务器与指令,一旦成功连接,该服务器就会产生一个2048位的
RSA加密密钥配对,并且提交
公开密钥到被感染的计算机。该服务器可能是一个本地代理服务器或其他的代理服务器,会频繁地在不同国家间进行重定位,增加追踪的困难度。
该有效负载会将整个硬盘与相链接的网络硬盘中的文件,利用公开密钥进行加密,并将文件加密的纪录送入一个登录码。这个过程中,仅会将特定附档名的数据文件进行加密,例如
Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD文件。有效负载接者会显示一则消息,告知用户文件已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2
比特币,才能解开这些文件。付款动作必须在72至100小时内完成,否则私人密钥将会在服务器端摧毁,并且“将永远没有人能打开这些文件。”勒索付款后,会允许用户下载一个解密程序,然后预载用户的私人密钥。
2013年11月,CryptoLocker的操作者开放了一个线上服务,允许用户不用CryptoLocker程序就能解密文件,并且必须于截止时间前下载解密密钥;这个过程包含了将解密文件样本上传到恶意软件的网站,然后在24小时内,网站会依据请求,查找匹配的密钥。一旦匹配成功,用户就能够进行线上付款;如果72小时的期限已过,付款价格将会增长到10比特币(在2013年11月上旬,换算汇率为超过3500美元)。
软件危害
CryptoLocker利用邮件、
聊天工具、僵尸网络以及被黑客攻击的网站进行扩散,所有访问者都将被安装该软件。软件安装之后会立即运行,并自动加密所有能够找到的文档文件(包括可移动设备上的数据),锁定计算机屏幕,要求用户付费解除加密。CryptoLocker通过微软提供的私人高级加密技术(
RSA)进行加密,该算法提供的
私钥掌握在黑客手中,如果黑客72或100小时内没有收到汇款(根据软件设定时间确定),则黑客可以销毁该密钥,损失的数据将永远无法找回。
防灾与解灾
安全软件可能无法侦测到CryptoLocker,或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到,该恶意软件有时只会加密一小部分的文件;立即清除该恶意软件(这本身就是一个相对简单的程序)理论上可以降低数据的伤害数量。专家建议的预防方式,包含使用软件或其他安全策略,阻挡CryptoLocker的有效负荷完全被占据。平常勤于备份重要文件,并离线、异地存储,使得文件遭勒索软件加密后,尚有机会可从备份还原。
由于该文件的操作性质,一些专家坦承支付给勒索者是在缺乏备份还原(尤其是不经由网络连接下的离线备份,或是从
连续数据保护系统的备份进行还原)下的唯一方式。由于密钥的长度是由CryptoLocker所操纵,可以预见地,这些被加密的文件无法
暴力破解,在不付款的情况下解密文件;相似的例子为2008年的
蠕虫病毒Gpcode.AK,使用的是1024位的加密,相信这个加密程度太大,导致无法以分布式计算,或是发现漏洞的方式打破加密的内容。
赛门铁克估计至少3%被感染的用户会采用付款方式解决。
2013年10月下旬,
卡巴斯基报告其DNS陷阱已经创建完成,可以在部分域名用户接触到CryptoLocker时进行阻挡。
免疫方法
用户可以通过以下方法免疫CryptoLocker的攻击:
1.安装屏蔽硬盘和压缩文件的软件。
2.控制共享
驱动器的权限,限制可以进行修改的用户。
3.定期备份数据到离线存储设备,如
蓝光和
DVD。网络连接的
驱动器和
云存储除外(Cryptolocker可以访问、加密存储在那里的文件)。
4.设定每台PC的软件管理工具,防止Cryptolocker和其他可疑程序访问某些关键目录。
5.设置计算机的
组策略对象来限制注册表项(包含设置
数据库),使Cryptolocker恶意软件无法进行加密。
如果有已经被加密的资料,可以尝试提交到一些安全专家建立的专门解密网站解密。