恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要

勒索軟體付錢有用嗎?

勒索軟體為什麼比過去的網路病毒更讓人感到可怕?原因並不在於技術的問題,而是在於勒索軟體帶動了一種新的「犯罪事業」。

賽門鐵克大中華區安全解決方案技術部總監羅少輝表示,現在的網路犯罪團隊不但是技術已經越來越高,甚至越來越商業化。像是那些勒索軟體的詐騙集團,不但擁有廣泛的資源和技能高超的團隊,有效率地運作,甚至還有一般辦公時間、周末和假期。

暗網造成幕後主首難以追查

而這個「事業」之所以會變成可能,則又要談到「Tor 洋蔥網路」或是所謂的「Deep Web 暗網」,由於洋蔥網路具有匿名性的特性,要辨識出網路後面的使用者相對困難,一般的警方難以追蹤來源。

再加上現在勒索軟體的開發者甚至還解決了「金流」的問題,現在受害者付款都採用利用比特幣來支付的方式,比特幣又是另一個難以追蹤資金流向的工具。而這等於保障了勒索者的安全性,增加了破案的困難度。也因為這個原因,讓更多人想要透過勒索軟體來發一筆橫財。因此,現在只要會使用暗網,你甚至不需要懂得怎麼樣寫程式,你也可以上網買到一隻針對你的需求量身打造的勒索軟體,這就是所謂的「勒索軟體即服務」(RaaS)。

這些駭客的網站上有時還會公開競標,為有心要進這一行的「客戶」量身打造,包括你需要勒索軟體哪些功能,甚至會提供支援的客服團隊。或是你也可以買來他們的基本模組,然後自己改造,就成了另一種勒索軟體的變形。這也是市面上勒索軟體的變形為什麼這麼多的緣故。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲賽門鐵克大中華區安全解決方案技術部總監羅少輝。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲透過 Tor 洋蔥瀏覽器可以連接上暗網。

付錢支付贖金,有用嗎?

雖然每一個勒索軟體都信誓旦旦地告訴你,他們是「良心企業」,只要你付了款你被加密的檔案就會取回,但是很多受害者的經驗來說並不是這樣。

就像前面所說的,現在的勒索軟體很多都是採用「勒索軟體即服務」的狀況下創造出來的產物,因此勒索你的那個人,其實不一定是勒索軟體的作者,他自己也不見得明白勒索軟體的原理。

因此,就算是你付了贖金,取得了解密的金鑰,當你在解密的過程中發生了什麼問題,甚至無法解密,通常這些人也只能雙手一攤,告訴你他們也沒有辦法解決。這個情況下,你原本就是在跟歹徒做交易,當失敗之後,你當然也沒辦法去告他交易詐欺。

此外,更深一層的說,當對方已經有本事入侵你的網路,散佈了勒索軟體,他們很有可能已經掌握有你網路上的資料了。甚至手中握有一份你的機密資料的備份。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲大多數的贖金都採用比特幣來支付,無法追蹤金錢的流向。

目前有甚麼解決勒索軟體的工具

如果你不幸中了勒索軟體,檔案已經被加密了,在不知道金鑰的情況下,以目前的電腦硬體以及軟體技術來說,是無法可解的。不過,由於勒索軟體發展已久,在警方以及資安公司的聯手合作之下,也有些勒索軟體集團已經被破獲。因此,透過這些已知的資料,還是有部分勒索軟體所加密的檔案,目前已經有了對應的解法。但很可惜的是,這些解法都只能解特定類型的勒索軟體,並沒有一個可以解開所有勒索軟體的方法。這裡就整理一下目前幾個資安公司所發表的解密工具。

TeslaCrypt、Cryptxxx 2.0解密

趨勢科技的網站上提供了兩種工具,其中一個工具是針對 TeslaCrypt 類型的勒索軟體所造成的加密檔案進行解密的解密工具「TeslaCrypt 解密工具(TeslacryptDecryptor)」,另外一種則是針對其他不同種類的勒索軟體,他們收集了已知的解法進行的解密工具「勒索病毒檔案解密工具(RansomwareFileDecryptor)」。

在「勒索病毒檔案解密工具(RansomwareFileDecryptor)中,比較值得注意的是可以解決 Cryptxxx 2.0版和 TeslaCrypt v1、v3和v4版勒索軟體加密的檔案。

至於另外一個 TeslaCrypt 解密工具(TeslacryptDecryptor)」,則是因為之前勒索軟體 TeslaCrypt,作者已經出面道歉並且釋出解密金鑰,因此這個獨立出來的解密工具會用來解密更有效率。

透過趨勢科技的 Ransomware FileDecrypto Tool,有機會將被上述這些勒索軟體加密的檔案進行解密,不過無法保證全都能成功。要確認解密工具是否有效,可以在執行之後,看看原本被加密的檔案名稱是否和原本的名稱相同,而原本被不同勒索軟體加密後所出現的不同副檔名,成功解密後也會被移除。

Ransomware File Decrypto Tool 解密工具使用範例

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲1. 工具的下載網址:http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲2. 進入以後先選擇勒索軟體的名稱。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲3. 這套工具可以用於八種類型勒索軟體的解密,之後再選擇被加密檔案的檔案來嘗試解密。

CoinVault、Bitcryptor 解密

趨勢科技並不是唯一針對勒索軟體提供解密工具的資安廠商,卡巴斯基也針對被 CoinVault 與 Bitcryptor 勒索軟體加密的檔案,釋出解密工具。

CoinVault 已經存在相當長的時間了,由於勒索軟體會針對不同的受害者,在完成加密檔案之後,會給受害者發送一個比特幣錢包的位址,要求受害者在這個錢包支付比特幣。

而卡巴斯基與國外警方合作,逮捕了這些勒索軟體的作者,卡巴斯基也取得了這些勒索軟體的解密金鑰共計一萬四千組,並且放在一個資料庫中提供受害者進行解密之用。

因此,如果是 CoinVault、Bitcryptor 這兩類勒索軟體的受害者,可以透過卡巴斯基的解密工具,來嘗試將被加密的檔案還原。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲CoinVault 所顯示的勒索畫面。

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲下載網址: http://support.kaspersky.com/viruses/utility

CrypBoss Ransomware、HydraCrypt、UmbreCrypt 解密

另外還有一個知名的 CrypBoss 系列勒索軟體,之前的程式碼被洩露在網站上,所以給遭勒索軟體感染的電腦一線生機。奧地利資安公司 Emsisoft 的資安研究員 FabianWosar 在分析程式碼之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,讓遭 CrypBoss 與其衍生勒索軟體(如HydraCrypt、UmbreCrypt)加密的檔案,可以解密還原成原始格式。

解密軟體的操作相當簡單,使用者需要準備下列 2 組檔案的其中 1 組
1. 遭到加密與未遭加密的相同檔案
2. 遭到加密的 PNG 圖片檔案與任意 PNG 圖片檔案

只要將任意一組檔案拖曳到解密軟體的圖示上,解密軟體就能經過計算得到解密金鑰,於是使用者就可以透過這組解密金鑰還原被感染的檔案。
解密軟體下載位址為:http://emsi.at/DecryptHydraCrypt

恐怖的勒索軟體! 有什麼解法與預防方式- 目前沒有良好解藥,自我保護最重要
▲將上述任意一組檔案拖曳到解密軟體的圖示上,解密軟體就會自動分析。

下一頁還有預防勒索軟體的方法哦 ~

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則