勒索軟件逸聞!回看病毒攻防史!

近日Locky鬧得滿城風雨,很多人都聞勒索色變,事實上,勒索軟件發展到今日已經有一段時間,現在看起來好不威風,其實一直以來,防毒軟件與勒索軟件展開過多次不為人知的大戰,當中有不少趣聞逸事,以下和大家分享。
its not possible

Helpme/file2
這款勒索軟件以採用電子郵箱「helpme@freespeechmail.org」和「file2@openmailbox.org」作為聯網犯人的電郵,以取得解密的金鑰的資訊。犯人會要求3個比特幣作為贖金,外界因為此程式破壞力強而一致劣評,不過在去年年底,卡巴斯基的RakhniDecryptor已經能夠成功暴力破解該款勒索軟件,該工具原本用來破解”venerable” Rakhni勒索程式,而helpme只屬於前輩的變種。

失敗的DMA勒索軟件
波蘭出產的勒索軟件,其後經過改良推出英文版,Malwarebytes的研究人員加入研究,並且從DMA身上發現有趣事件。

有趣事件一:軟件製作者自稱使用AES-256進行加密,然後透過RSA-2048保護金鑰,後來研究員發現只是稱用自行定義的加密,金鑰很快就被破解。

有趣事件二:DMA對逆向工程毫無防護,為研究人員帶來喜訊。
excellent
有趣事件三:DMA的加密碼寫死在其中一個二進制文件內

有趣事件四:DMA製作者把解碼器放在勒索通知內,無論加密還是解密都是使用相同的來源碼。

即使其後編寫DMA的人士發現自己愚蠢的錯誤,其自行定義的加密依然十分薄弱,令一般用戶可以放心。
Petya
邪惡勒索軟件 Petya在上個月被發現,主要針對受感染裝置的主引導紀錄,而且受害人只可以支付400比特幣的贖金,後來被人自行開發程式生產解密金鑰,更有人公開教授自行解密工具的使用方法。

 

I want to play a game with you
使用電影《恐懼鬥室》的角色Jigsaw和名句「I want to play a game with you」的勒索軟件,受害人需要在一小時內支付0.4至150比特幣,重開電腦會被懲罰刪除1千個檔案。隨後軟件被電腦法證專家Michael Gillespie和Lawrence Abrams破解,開發解密工具讓所有人免費解密,Game Over!
jigsaw
有趣事件:Jigsaw可以防止受感染用戶透過工作管理員刪除任何檔案、終止firefox.exe和所有drpbx.exe運行,因為Jigsaw正是進入系統偽裝成Firefox瀏覽器安裝檔案。

 

其實以上個案受害者能夠全身而還是全屬僥倖,更多受害人是迫於無奈支付贖金以換取一個解密的希望,事實上有大量勒索軟件使用強大的加密定義,令人如果沒有金鑰,基本上無法解密,所以一如我們經常掛在嘴邊的一件事,「預防勝於治療」,在遇害前做足安全措施。

一般的個人用戶,只要更新卡巴斯基防毒軟件,並且開啟System Watcher功能,便會受到3層防護,滴水不漏地保護用戶的裝置。至於企業伺服器方面,Kaspersky Security for Windows Server最新的Anti-Cryptor技術,專門防止勒索軟件在伺服器內到處破壞!