關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保關於當今塑造我們世界的發現和想法的具有影響力的故事的未來。
如果有人劫持了您的計算機檔案並要求您支付贖金才能安全歸還,您會付多少錢? 100 美元? 1,000 美元?一種名為 CryptoLocker 的惡意軟體目前正在透過有毒的電子郵件附件感染計算機,這些附件會鎖定機器的資料,除非所有者同意在 72 小時內支付 300 美元。
網路安全公司在 9 月初首次注意到 CryptoLocker。攻擊在過去幾周有所增加,昨天他們報告說,該惡意軟體的新版本為人們提供了更多時間來恢復他們的檔案——但價格比最初的要價高出約 1,600 美元。 專家估計,CryptoLocker 每天感染大約 1,000 臺個人電腦,主要在北美、英國和印度。直到最近,這種惡意軟體(也稱為“勒索軟體”)對大多數防病毒軟體來說還是無法檢測到的。而且,除了支付贖金外,目前還沒有辦法逆轉損害。“這有點像丟失了你的電腦、砸碎了你的硬碟或把你的電腦扔進了港口。一旦你的檔案被加密,你就永遠無法找回你的資料,”安全公司 Sophos 的亞太區技術主管 Paul Ducklin 說。
該惡意軟體會對文件、PowerPoint 檔案、影像、影片、電子表格、Photoshop 檔案、mp3 和其他檔案進行加密——基本上是任何普通人認為重要或具有情感價值的東西——並指示使用者透過比特幣或 MoneyPak 付款,如果他們還想再次看到這些資料。與 CryptoLocker 關聯的比特幣賬戶已經累計達數百萬美元,據推測,還有無數金額是透過其他渠道收集的。“從技術上講,CryptoLocker 所做的事情一點也不新鮮,”Emsisoft 的安全開發人員 Fabian Wosar 說。“事實上,這種特殊的勒索軟體,通常被稱為加密惡意軟體,已經存在了幾十年。它在過去幾年變得更加普遍。”
然而,CryptoLocker 在計算機感染的數量和加密強度方面都比以前版本的勒索軟體更成功。“看來這些人選擇受害者的方式很不幸地導致了比我們以前看到的更大的成功,”Ducklin 說。“加密盔甲上是否有裂縫?到目前為止,據我所知,還沒有人發現任何裂縫。”他說,破解加密的唯一方法是進行“暴力”攻擊,生成隨機金鑰,直到您找到正確的金鑰。但由於加密級別非常高,因此這需要比檔案被銷燬之前人們擁有的時間和計算能力多得多。
CryptoLocker 通常透過“網路釣魚詐騙”來訪問計算機,這些詐騙會誘騙人們開啟看起來像 pdf 檔案的電子郵件附件,但實際上是“偽裝成薄薄外衣的 Windows 程式,”Ducklin 說。它還會購買殭屍網路(那些傳送垃圾郵件的程式)上的時間,並使用它來分發該軟體。一旦開啟,惡意軟體就會自行安裝到硬碟驅動器上,並嘗試訪問命令和控制伺服器,該伺服器會生成兩個金鑰——一個用於加密檔案的公共金鑰和一個用於解密檔案的私鑰,惡意軟體會保留私鑰,直到使用者支付贖金。當加密過程完成時,會彈出一個倒計時時鐘,其中包含有關如何付款的說明。
負責 CryptoLocker 的程式設計師已將命令和控制伺服器隱藏在許多代理伺服器之後,這些代理伺服器會混淆和重新路由流量,從而難以跟蹤,以及幾層額外的加密,從而使惡意軟體幾乎無法追蹤。
可以透過中斷網路連線或更改 Windows 作業系統規則,阻止 CryptoLocker 訪問命令和控制伺服器,從而防止其開始加密過程。來自電信公司、McAfee 等網路安全公司、大學和其他機構的 100 多名研究人員組成了一個 CryptoLocker 工作組,以共享有關惡意軟體的資訊,並開發可以檢測到它並阻止其執行的安全補丁。但是,一旦您的檔案被加密,仍然沒有辦法將它們恢復。而 CryptoLocker 背後的任何人都仍在開發可以逃避檢測並避免最近安全修復的新版本惡意軟體。
安全研究人員表示,備份檔案是保護自己免受 CryptoLocker 侵害的最佳方法,但即使這種方法也不是萬無一失的。“一旦它感染了一臺機器,它就可以加密你網路上的檔案、快閃記憶體驅動器上的檔案,甚至可以加密雲儲存上的檔案,例如 Google Drive 或 Dropbox,”計算機諮詢公司 Foolish IT 的執行長 Nick Shaw 說,他建立了一個免費工具,可以保護家庭使用者免受惡意軟體的侵害。
McAfee 的安全威脅研究員 Craig Schmugar 說,訣竅是將備份檔案遠端儲存,以便在感染時它們與裝置沒有任何連線。保護自己的另一種方法是養成安全的瀏覽習慣,例如避免可疑連結,並且不開啟來自你不認識的人的電子郵件附件。 CryptoLocker 電子郵件通常看起來像是來自公司或組織(例如商業改進局、FedEx 或 UPS)的客戶支援訊息。
根據收到電子郵件的人員,Emsisoft 的 Wosar 認為,該惡意軟體可能針對的是小型企業,這些企業的生計依賴於他們的檔案,但他們可能沒有自己的資訊科技部門,並且對傳入的電子郵件以及附件過濾器限制較少。 CryptoLocker 使這些公司陷入困境,而且許多公司似乎都在違反安全公司的建議支付贖金。“你不想向這些人付款的一個原因是,這隻會鼓勵他們繼續支援它,並使其變得更加惡劣,”Malwarebytes 的惡意軟體情報分析師 Joshua Cannell 說。“因為如果它正在賺錢,那麼很明顯他們會繼續研究它,並投入更多的時間和精力。”
安全專家承認,不付款對每個人來說都不可行。“對於綁架也提出了完全相同的論點——永遠不要給贖金,這隻會鼓勵他們,”哈佛法學院伯克曼網際網路與社會中心的密碼學家和研究員 Bruce Schneier 說。“這個論點很有道理,直到你的孩子被綁架。當涉及到你的資料時,如果它值得,你就會付款。”
考慮到已經與 CryptoLocker 關聯並被刪除的伺服器的位置,Wosar 認為肇事者可能來自俄羅斯。“它之所以有效,不是因為計算機軟體,而是因為存在一個這些人可以運作的國家和一個他們可以使用的金融轉移機制。我向你保證,這些人不住在美國,因為聯邦調查局會很快盯上他們,”Schneier 說。
Schneier 稱 CryptoLocker 感染“特別令人討厭”,因為它們會攻擊你的個人檔案,但他表示,與其他網路上可怕的病毒和惡意軟體相比,該惡意軟體的威脅較低。雖然正確的預防方法可以很容易地避免 CryptoLocker,但這種威脅可能不會很快消失。
在那之前,請記住備份。