勒索程式CoinVault兩名疑犯落網 主要線索竟然是……

勒索程式因為成本效益理由,近年變成了網絡罪犯常用的攻擊手段,2014年5月首次被發現的CoinVault在短短一年間,受害者已偏佈20個國家,而且它有極短時間內影響數以萬計用戶的傳染能力,所以一直極受司法部門及網絡保安公司關注。在日前,荷蘭警方終於拘捕兩名年齡介乎18至20歲的疑犯,懷疑兩人就是CoinVault的主腦,正義一方小勝一仗。
12-01

司法部門、網絡保安公司通力合作

勒索程式高成效、發佈方式豐富,同時又難於追蹤,所以大受犯罪份子歡迎,成功拘捕疑犯的案件亦罕有聽聞。其實司法部門與網絡保安公司一直嘗試從勒索程式中抽絲剝繭,找出幕後黑手,較早前卡巴斯基實驗室與荷蘭警方合作,互相交換資料與技術,合力打擊勒索程式,製造出解碼工具網頁Noransom,而活動展開之後更接到來自Panda Security的研究人員聯絡,進一步交換情報,讓更多CoinVault的受害者可以嘗試免費自行解鎖。

 

CoinVault 2.0:Bitcryptor

在今年4月Noransom解碼工具網頁面世,CoinVault的設計者採取了迅速的應變方案,發放出新的勒索程式Bitcryptor,編碼與CoinVault大致相同,舊版本以荷蘭語編寫,主要對象是荷蘭人,而新版則完全移除了這個特徵,同時加入新功能,可以偵測受害者的付款狀態,其次是檢查及對付偵測及研究程式,並把設定資料儲存在.ini檔案之內。
12-02

勒索語言洩露主腦身份

今次能成功拘捕懷疑幕後主腦,主要線索來自CoinVault的勒索語句採用了荷蘭語編寫,由於荷蘭語相對十分複雜,書寫時難以完全正確,所以卡巴斯基實驗室的研究人員在早期已鎖定疑犯可能是荷蘭人,與當地的司法部門合作,首先成功搗破C&C伺服器,即使後來Bitcryptor把荷蘭語編寫的特徵完全消除,也沒有被誤導,最後經過多方面的協同和合作,終於把疑犯繩之於法。

 

主動式防護以策安全

勒索程式經常會利用程式漏洞進行破壞,當中不乏零時差漏洞,令人防不勝防,不少用戶的電腦已經裝有保安程式,仍然不能倖免於難(當中包括人為因素),由此可見單憑傳統的被動式防護,面對這種新興攻擊手段免疫能力比較參差,所以,迎戰新威脅,也要採用新思維去對抗。透過分析程式的功能、監測程式的行為,藉此判斷程式安全性的主動式防護也逐漸普及,例如卡巴斯基實驗室產品中的System Watcher功能,即時監控程式運作,如果遇上可疑動作會即時備份受影響的檔案,即使用戶選擇讓程式繼續運行而受到攻擊,也可以利用備份檔案立即回復原狀,避免招致損失,增加對用戶的防護。

System Watcher如何保護用戶: