色情敲詐惡意程式GandCrab重臨 增加變化針對目標更廣泛

色情勒索軟件 GandCrab 在去年取得極大成功,即使有傳言它的影響力正走下坡,其實開發團隊一直持續推出新版本,而且「努力」並沒有「白費」,穩佔加密勒索軟件市場的 40%,令 GandCrab 變得更多樣化和具備創意,由於勒索的行為與過往不同,所以被誤以為它已慢慢步向死亡,而事實卻是相反。

愛意的加密勒索
電郵的主旨出現「My love letter to you」、「Fell in love with you」等類型的電郵時就要打醒十二分精神,尤其接近情人節、聖誕節、新年、生日甚至只是一個普通的星期一工作日,看到這種標題的電郵時千萬開心得太早!近期最常見的惡意電郵變種是帶有愛意的主旨,載有名叫 Love_you 的 Zip 附件,如果用戶解壓檔案和執行,檔案中的 JavaScript 便會下載 GandCrab 加密勒索軟件。

結果用戶當然不會得到任何愛,現實是收到電腦內所有資料都被加密的勒索訊息,受害人可以支付贖金 (Bitcoin) 去取回檔案,如果用戶不熟識加密貨幣,攻擊者更提供即時通訊窗口教導用戶購買足夠的比特幣去支付贖金。

企業的加密勒索
程式不斷進行更新以堵塞已知的安全漏洞,但用戶往往因為疏於更新而惹禍!其中一種借 GandCrab 發動的攻擊是利用一個 2017 年已被修復的漏洞,內容是修復一款 IT 公司用作兩個管理系統資料同步的工具,而 GandCrab 在 2019 年攻擊仍未進行補丁的用戶,黑客可以借漏洞建立新管理員帳號,藉此推送指令安裝惡意程式到其管理的端點裝置,即是對 IT 公司的客戶進行加密勒索。

個人安全的加密勒索
當收到電郵寫著「辦公室緊急逃生出口地圖更新」的電郵附件時,即使是由陌生的電郵地址傳送,相信很多人最終仍然會選擇打開附件,黑客就是捉住用戶這種心理,發送惡意電郵和 Word 檔案附件,打開檔案後見到「緊急出口地圖」的標題和「啟動內容」的按鍵,當用戶點擊按鍵便會安裝 GandCrab 加密勒索軟件。

財務部的加密勒索
另一種策略使利用電郵看似可以從 WeTransfer 下載發票或付款確認,連結的是 Zip、RAR 或其他檔案,需要密碼打開檔案,內裡當然又是大家熟識的 GandCrab 加密勒索軟件。

針對意大利的加密勒索
另一種支付通知的變種使用 Excel 附件,在打開檔案時會顯示無法預覽,並提議點擊「開啟編輯」和「開啟內容」去瀏覽內容。這項攻擊最獨特之處是只針對攻擊意大利人 (暫時),當點擊以上按鍵其實是容許指令檢查用戶電腦的語言,如果並非意大利語便不會引發任何後果,如果是意大利語則能看到遊戲《Super Mario Bros.》中的 Mario,並且開始安裝惡意程式,其中加密用戶檔案的部份利用了 GandCrab,盜取用戶銀行和網上帳號資料的則是 Ursnif。

向「蟹」說不
GandCrab 的攻擊通常都由不同的人發動,因為它是一款加密勒索程式服務 (ransomware-as-a-service),團隊開發程式然後收取費用出租予其他犯罪份子,因此可以透過不同的傳遞方法去感染不同的目標,以下是預防 GandCrab 的最佳方法:

  • 當收到看似不正常的電郵時,在打開附件前先確定電郵的真偽,例如致電寄件者。
  • 經常保存可靠的備份資料,當遇上緊急事故時也能夠進行復原。
  • 使用可靠的防毒軟件攔截加密勒索軟件

如果不幸已經是 GandCrab 的受害人,可以參考以下步驟去減少受到的傷害:

  • 受害者可能有機會免費取回檔案,到 No More Ransom 的網站查看解密工具,部份版本的 GandCrab 因為存在漏洞所以容許解密,可惜並非所有版本都能夠解密。
  • 在下載和開始解密工具前,使用可靠的防毒軟件把加密勒索軟件從裝置上移除,否則惡意程式將會重複加密系統和檔案。