加密勒索軟件的進化 由加密至破壞檔案

加密勒索軟件在過去一年有飛躍性的發展,有網絡罪犯認真地把原本簡單的檔案加密威脅,搖身一變成為一件更加複雜的工具,而且所有跡象顯示趨勢仍然會持續。以下就回趁機會回顧在 2017 年之前的加密勒索軟件,到發展至今的重要轉變吧。

2017 年以前
在以前,加密勒索軟件的受害者主要以一般普通用戶為主,網絡罪犯大量濫發郵件散播惡意程式,希望至少有一名電腦內有重要資料的用戶打開電郵附件。但是情況在 2016 年產生了變化,網絡罪犯隨機散播的名單,逐漸被專門從網上收集企業員工的電郵清單所代替,因為他清楚意識到攻擊企業更加有利可圖,而且訊息的內容也隨之而改變,由偽裝成個人通訊變成訛稱為合作伙伴、客戶和稅務服務等等。

2017 年
情況在 2017 年發生根本性的轉變,兩次大規模的爆發受影響人數高達數以百萬計,顯示加密勒索軟件的用途並不局限於勒索,第一次是惡名昭彰的 WannaCry,就像技術開拓者一樣,讓加密勒索程式利用 Windows 的 SMB 內其中一個漏洞,儘管爆發當時漏洞已推出修正補丁,但是很多企業都忽視安裝補丁的重要性,結果被 WannaCry 乘虛而入。

然而 WannaCry 作為加密勒索軟件並不能稱得上成功,即使成功感染成千上萬台裝置,但是 WannaCry 製造者的收入並不可觀,甚至有研究人員質疑攻擊的目標並非獲得金錢利益,而是做成數據破壞的結果。

第二次大規模爆發毫無疑問非 ExPetr 莫屬,因為 ExPetr 是完全無法復原被加密的資料,其實是一款偽裝成加密勒索軟件的掃除型 (Wiper) 惡意程式,主要目的為破壞檔案。此外,它使用了新的散播方式,從供應鏈發動攻擊,製作人成功入侵烏克蘭一款會計軟件 MeDoc,再透過該程式把 ExPetr 傳播到其他企業網絡之內,當時幾乎所有烏克蘭企業都面臨感染的風險。

2018 年
雖然 2018 年只過了一半,但是跡象顯示加密勒索軟件仍然持續進化之中,卡巴斯基實驗室的專家最近分析了最新改良後的 SynAck 加密勒索軟件,是相當新的威脅,不但內裡包含複雜的機制進行對抗防護技術,屬於針對性攻擊,當中反偵測的手段包括:

  • 使用名為 Process Doppelganging 的程序試圖把惡意行為混淆成為合法的動作
  • 在編譯之前已對執行編碼進行混淆影響分析行為
  • 檢查是否在受監控的環景中 (例如 Sandbox )
  • 關閉程序和服務以確保能存取重要檔案
  • 清除活動日誌以阻止事後分析

對付加密勒索軟件預防勝於治療
無論是個人或企業用戶,卡巴斯基實驗室的產品都能夠有效對抗加密勒索程式,System Watcher 可以即時攔截加密行為,並即時回逆受影響的檔案 (必需要事前啟動相關功能),再配合定期的檔案備份工作,為最最壞的情況做最充足的準備。至於其他品牌產品的用戶或已經不幸「中招」的受害者,不妨瀏覽卡巴斯基實驗室連同業界及多國執法機關合作的 No More Ransom 計劃,瀏覽加密勒索軟件的資訊和已知的免費解密方法分享。