新一代的勒索軟體CryPy現身

2016-12-20

 

 

勒索軟體是這幾年來最令人頭痛的問題。
早期的勒索軟體一般都沒有加密機制,只是單純鎖定電腦而已。一旦登錄就會被導引到指定的程序中,唯一執行的軟體是瀏覽器的全螢幕模式,上面開著要求您支付罰款贖金解鎖的相關頁面。

然而最終,您其實可以簡單透過還原光碟或類似Sophos Bootable Anti-Virus的USB開機掃毒工具,就能擺脫惡意軟體而不用支付贖金。此外,這個被稱為Reveton的勒索軟體,其背後主謀最後遭西班牙當局逮捕。

接下來下一檔的勒索軟體可讓您的電腦解鎖,所有的應用程式都能正常執行,但會擾亂您的資料。轉變成您不是要購買電腦解鎖代碼,而是資料解鎖代碼,表面上,就是要引導你解密遭到加密的檔案。所以讓你的作業系統和瀏覽器能正常執行,實際作用是為了讓這場交易盡快完成。因為這樣你就不需要到另一台電腦去上網付款,讓整個流程變得更簡潔容易,進而縮短讓人思考應付問題的時間。

勒索軟體是如何運作

時至2016年,大多數的勒索軟體或加密勒索軟體,都會採用以下兩階段的加密過程:
使用AES隨機選擇的金鑰加密資料。
使用RSA公鑰加密隨機的AES金鑰。
刪除AES金鑰並僅保留受RSA加密的版本。

 

AES用於對所有檔案進行批次加密,因為其被設計用於此目的時十分高效快速。但AES使用相同的金鑰進行鎖定和解鎖,所以罪犯才會使用RSA加密AES金鑰,從而防止你弄清楚其中的資訊。會這麼做的原因,主要是因為RSA與AES的機制不同,會使用不同的金鑰進行鎖定和解鎖:公鑰鎖定、私鑰解鎖。罪犯只要保留私鑰,就成了唯一可以解密加密AES金鑰的人,而沒有AES金鑰,你的資料就無法得到還原。(分兩階段作業是必需的,因為RSA本身較於緩慢複雜。)

這個機制造就出許多勒索軟體樣本,例如,CryptoLocker、CryptoWall、TeslaCrypt、Locky、Zepto、Odin,都是採用這類方法處理他們的加密需求。

 

勒索軟體新紀元

2016年似乎是勒索軟體展開新機制的元年,各路崛起的罪犯紛紛嘗試透過相似病原體,來結合不同的攻擊手法技術。例如,Petya會保留您的檔案,但會變更Windows的主檔案表格(MFT)。MFT用於建立磁碟上的目錄和檔案的原始資料分區索引,抹除MFT就像有一張地圖,但其中所有的道路都已經被刪除,所有的城鎮名稱都已被剪下。就像您可以知道,在英國有一個地方叫牛津,但你無法從中知道實際位置,更不用說,要如何前往所在地。

Mamba將這個想法做了進一步的進化,並且整理了整個磁碟,就像蘋果的FileVault或Microsoft的BitLocker。但事實上,Mamba是單純透過安裝一個實際的全硬碟加密產品(DiskCryptor)來進行詐騙。

CryPy勒索軟體來襲

一個和其他勒索軟體手法大為不同的新型勒索軟體已現身,它的名字是CryPy。CryPy是以 Python 撰寫的新型勒索軟體。目前因為CryPy依賴的Web伺服器處於離線狀態,所以尚未能完全模擬出惡意軟體正常作業的程序。雖然如此,但目前已可確定的是惡意軟體已經編譯成一個Windows .EXE檔案(可執行程式),從中可以輕鬆提取Python原始碼,所以我們可能還會看到其他的網路竊賊也會取得關於CryPy的資訊。

 

CryPy和CryptoLocker等類似勒索軟體的最大區別是,CryPy會將每個檔案產生各自獨特不重複的金鑰進行加密。

 

 

惡意軟體會為受害者的所有檔案原始名稱建立唯一識別碼的HTTP請求;伺服器會使用替換的檔案名稱和一次性隨機的AES加密金鑰。

這代表著:
每個檔案都有自己專屬的解鎖金鑰。
每個檔案都得到一個新的無意義名稱。
罪犯最終會得到所有檔案名稱的完整清單。



勒索軟體的新層面影響

用比較口語的方式說明,就是這個勒索軟體帶來了三方面的新型威脅。首先,實際上看似只竊取了您的檔案名稱,但同時也擾亂您本機的檔案副本。
第二,這使得罪犯能夠根據使用者意願單獨贖回每個檔案,或者根據檔案名稱判斷其價值來哄抬價錢。
第三,不需要RSA(或任何其他種類的非對稱加密)和公開/私密金鑰,因為一次性金鑰的產生和儲存都在伺服器上。

其他影響,CryPy還會:
將自己設置為在您登錄時啟動,以解決無法一次完成的作業。
刪除您的本機陰影副本,許多人所依賴的唯一備份方式。
封鎖系統故障排除工具的存取,如命令提示字元、登錄編輯程式和工作管理員。
找尋磁碟裝置上的資料檔案。
這些技術讓勒索軟體變得更難被查緝、刪除和恢復,從而造成更大的殺傷力。

最後,CryPy會在桌面上建立一個名為README_FOR_DECRYPT.txt的檔案,從中告知您如何和罪犯聯繫洽談購買金鑰的相關事宜。

 

是否有因應之道?

雖然,我們都不希望有這樣的勒索軟體出現,我們卻也無法阻攔。但其實為每個檔案個別加密是很不經濟的做法,因為這代表著CryPy惡意軟體程序和後端系統都需要複雜的架構和操作,所以它其實也還是有缺陷存在。

因此無論惡意軟體怎麼變化終歸萬變不離其宗,那就是需要一個切入的入侵點,而能夠在第一線防堵惡意入侵,就是最佳的防禦方式。這當中需要建立良好的使用習慣,並且搭配資安產品的保護之下,就可以讓感染的安全風險降至最低。

雖然,勒索軟體似乎充斥了所有頭條新聞,但現在全球端點安全的領導者-SOPHOS 推出的Intercept X已具備先進的勒索軟體保護功能。不需要傳統的檔案掃描或特徵碼更新,即可阻擋零時差威脅。換句話說:「即使是尚未成為已知的威脅,我們仍然可以阻擋它。」關於Intercept X的功能或您想瞭解更多,或進一步需求 ,歡迎洽詢SOPHOS 台灣代理商 - 湛揚科技02-27353512,我們會提供您詳細產品簡報,產品免費測試,讓您快速體驗Intercept X 強大有效的防護能力!瞭解更多產品資訊,請參考湛揚科技官網www.t-tech.com.tw

 

原文出處:Data-stealing CryPy ransomware raises the spectre of variable pricing for files