預防勝於治療,勒索軟體感染實例解析
ASRC 研究中心主任 高銘鍾

2014年6月份,ASRC與中華數位曾經發佈新聞稿呼籲留意Cryptowall,近期則有資安公司發佈調查,Cryptowall家族為2015年數量最多的勒索軟體,而其影響範圍,也慢慢由歐美擴散至亞洲。


由Google Trend搜尋Cryptowall關鍵字, 可以看見主要流行的地方,
大致為歐美地區;其新聞關鍵詞的熱門度也有越來越高的趨勢

為讓大家更清楚勒索軟體的傳播、感染方式,並且能做進一步的預防,ASRC藉另一個勒索軟體─TeslaCrypt做為勒索軟體擴散感染流程的案例。

傳播

勒索軟體其實與早期的電腦病毒非常類似,無特定目標的擴散、增殖、感染、破壞,只不過勒索軟體在「破壞」這個步驟,留下了一線希望,將完全抹除檔案資料的方法,改成讓你可以透過花錢就「有機會」救回遭到加密的檔案。TeslaCrypt大約在2015年2月開始出現,初期主要鎖定線上遊戲為目標,但在我們這次分析的樣本中,他加密檔案的範圍似乎擴大了許多。
攻擊的發起,是透過惡意郵件發動。廣泛寄出帳款未繳過期的惡意郵件,並在其中夾一個經zip壓縮的.js檔案,試圖騙受害人執行。


攻擊郵件的樣本

其中的惡意.js檔,本身並沒有惡意行為,它是一段Javascript下載描述語法 (Downloader),不是常見的PE執行檔,因此很可能躲過部份防毒軟體的偵測,及受害人的戒心。並且,這個Javascript經過混淆處理,直接查看原始語法也很難看出這個Javascript的意圖,及其所要下載的檔案。


經混淆處理的Javascript惡意程式碼

感染

當這個Javascarip被點擊後,會呼叫Windows Script Host執行惡意檔案下載工作,並自動執行下載回來的惡意程式。


解除混淆後可以清楚的看見下載點,及將被下載的惡意程式

當這個惡意程式被執行時,首先它會先使用vssadmin磁碟區陰影複製服務系統管理工具,刪除磁碟區陰影複製,讓之後的檔案加密,無法使用shadow explorer或系統還原的手法救回。而這個動作,在Windows 7的環境下,其實作業系統會進行警告,若謹慎留心,則或許有機會中止後續的加密流程。


勒索軟體刪除磁碟區陰影複製

惡意程式會在很短的時間,就將電腦中的文件及重要檔案都進行加密,並且在加密後的檔案資料夾都留下一份解密的說明文件。遭到加密的文件其副檔名後會被加上.vvv的結尾,文件內容已經完全不可見。


文件及重要檔案都被加密,並且在加密後的檔案資料夾都留下一份解密的說明文件


文件內容已經完全不可見

可能為了讓受害人讀取方便,以便能支付解密贖款,這份說明文件會分別以.bmp、.html、.txt三種格式儲存並顯示,以英文撰寫付款流程,並會提醒若看不懂內容的話可以使用Google翻譯工具。


html與txt格式的付款解說

防範

面對這類型的資安風險,預防絕對重於治療。該如何防範勒索病毒?一般而言,您可以做下列的防範工作:

1. 重要的資產資料定時做好離線備份。
2. 避免不需密碼或驗證的開放性網路共用存取。
3. 電腦基本的設定應不隱藏副檔名,並關閉用不到的服務,如:Windows Script Host。
4. 使用安全的瀏覽器上網 (例如:Google Chrome),並啟用過濾網頁廣告功能,保持瀏覽器修補更新。
5. 時時修補作業系統、應用軟體的安全性更新。
6. 使用郵件過濾機制與安全上網管理機制協防。(例如中華數位的SPAM SQR與Content SQR。)


在這個案例,中華數位的Content SQR在先期即可中斷內網連線抓取惡意檔案的動作

7. 不點擊不明/可疑郵件中的超連結或附件檔案。
8. 不下載/安裝/執行來路不明的程式。

勒索軟體的肆虐,在目前應還看不到可能被終結的一天,畢竟,這是一門無本生意,且巧妙利用受害者抱存希望的心理,將犯罪與獲利結合,甚至開始出現任何人都可客製勒索軟體的「策略聯盟」服務。若遭受到勒索軟體攻擊,並且檔案已經遭到加密,其還原的可能性極低,即便付了贖金,也並不保證檔案一定可以被救回來。這除了是攻擊者誠信問題外,也可能檔案同時被多重加密,或解密相關資訊也被加密而沒辦法解開。因此,做好預防才是上上之策!
本文發佈於2015年12月

回到列表