勒索病毒令人意想不到的經營手法!

今日犯罪有逐漸朝網路發展的趨勢，隨著人們開始慢慢習慣新的數位時代，舊式詐騙集團也開始改弦易轍。低風險、高報酬的誘因，讓詐騙集團紛紛投入網路犯罪這塊新的領域。在這篇文章當中，我們將介紹勒索軟體 Ransomware的發展與演進，基本上，這類犯罪手法就是利用使用者依賴科技、容易掉入陷阱的特性，挾持使用者的資料來勒索錢財。

加密勒索軟體的成長,甚至成立了技術支援團隊, 協助受害者進行付款流程

今日，隨著資訊量越來越多，人們對資訊的依賴也更加強烈，這正是為何駭客能夠挾持資訊來要脅使用者的原因。加密勒索軟體是一種專門將受害者重要檔案加密，然後挾持這些檔案來向受害者勒索贖金的惡意程式。過去十年來，我們看到勒索軟體 Ransomware的攻擊手法不斷翻新、獲利屢創新高。這類軟體以往的變種較不危險，損害也較低，且較容易偵測。但經過多年的發展，其能力已從單純將受害者電腦螢幕鎖住，演變至今日能夠將檔案加密，甚至將解密金鑰也加密的程度。專業的駭客團體現在紛紛採用一些目前無解的勒索軟體 Ransomware

變種，如：TorrentLocker 和 CryptoWall (後面有詳細說明)，而且原本零零星星的犯罪活動現在也開始企業化經營。從一些個案當中，我們甚至看到犯罪集團還成立了技術支援團隊，全天候 7 天 24 小時提供電話支援服務，或是提供網路聊天的方式即時協助受害者進行付款流程。畢竟，受害者若不付款，歹徒也賺不到錢。更專業的是，他們會架設如同正派企業一樣的網站，並提供新的功能來讓受害者免費試用其解密工具是否真能救回檔案。

初期勒索的金額平均約在 12 美元左右，目前一把解密金鑰的基本價格已將近 600 美元

就像其他任何「生意」一樣，隨著歹徒的生財工具日益精良，其每一次攻擊所創造的營收也跟著提高。早期勒索軟體 Ransomware剛發展的時候，歹徒勒索的金額平均約在 12 美元左右。但隨著惡意程式不斷發展並拓展至全球，歹徒的開價越來越高。例如，根據趨勢科技針對澳洲 TorrentLocker 的研究，目前一把解密金鑰的基本價格已將近 600 美元。不但如此，受害者若沒在 96 小時內付款，贖金還會自動加倍。看到這樣的數字，您或許會認為只有瘋子才會支付這麼大一筆贖金來取回一些不知幾年前撰寫的 Word 檔案，或是 2006 年收藏的約翰·梅爾 (John Mayer) Continuum 唱片。但隨著駭客將目標轉向較大的目標，例如企業機構 (因為企業擁有較多機密資料)，駭客要求的價碼也跟著水漲船高。目前，受害者正受困等待世界能有所改變，但專業的網路犯罪集團卻不斷提升其行動的隱匿性和成效。

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

TorrentLocker- CAPTCHA冒用機構的名義申請網域,並將責任嫁禍給該機構

其感染程序分成三個步驟：

網址重新導向
連上惡意網站
CAPTCHA 認證

首先，駭客會入侵一些網站伺服器，並在網站植入網址重導規則，且經常更換網址來躲避查緝。接著，受害者被導向一個由駭客歹徒掌控的網頁，歹徒會使用官方的地址、電話及其他註冊網域所需的資訊，冒用被假冒機構的名義申請這個網域。這麼做可讓駭客將責任嫁禍給該機構。接下來，當受害者被導到這個假冒的「政府」網站，就會被要求輸入一組簡單的 CAPTCHA 認證碼以下載含有「緊急」資訊的檔案。在輸入認證碼之後，使用者的系統就會被植入並執行 TorrentLocker 惡意程式，該程式接著將系統上所有 .DOCX、.PDF、.ZIP 等等的檔案加密。TorrentLocker 刻意多一道 CAPTCHA 認證的作法，有助於避免受害者起疑，這是歹徒得逞的重要因素，而其持續更新的檔案清單，也讓該程式會加密的檔案越來越多。此外，我們也看到它開始擴散至歐洲數個國家。趨勢科技資安專家建議，當使用者從電子郵件收到一個需要 CAPTCHA 認證的連結或是收到附件檔案時要特別小心。

偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊

另一個更為普遍的加密勒索軟體 Ransomware變種叫做「CryptoWall」，許多北美企業都曾遭到它的攻擊。在趨勢科技最近一份有關 CryptoWall 的報告當中，有個攻擊案例是駭客偽裝成大學剛畢業的社會新鮮人用電子郵件寄了一份假的履歷表到企業求職。像這樣巧妙利用時機和情境的社交工程（social engineering ）攻擊，令收件人非常難以防範。許多企業都因而受騙開啟了歹徒寄來的假履歷，結果感染了加密勒索軟體 Ransomware。一旦開啟了這樣的惡意檔案，接下來的發展就可想而知。不過這項攻擊的特殊之處在於惡意程式會費盡心機來掩蓋自己的痕跡。其最新的版本「CryptoWall 3.0」採用了 AES 演算法來將受害者的檔案加密，然後再用 RSA 演算法來將個別檔案的解密金鑰加密，讓受害者更難找到解密金鑰。過去，受害者還有機會找到唯一的解密金鑰來自行救回檔案。但現在解密金鑰已完全掌握在歹徒手中，因此受害者幾乎不可能自行解開檔案。

未來的發展: 開始朝行動勒索軟體發展

除了社交工程（social engineering ）技巧、雙重加密以及不斷演化的惡意程式之外，歹徒更不斷提升其運作的隱密性。他們將提供給受害者聯繫並支付贖金的網站架設在 Tor (洋蔥路由器) 網路上，將其惡意程式暗藏在數百或數千個已遭入侵的網站上，將每一個被加密檔案的系統備份刪除。除此之外，TorrentLocker 有時還會使用「CryptoLocker」這個名字，造成使用者在分析流量記錄時的混淆。未來，隨著商務逐漸朝行動化發展，行動勒索軟體的攻擊案例將日益增加。在地下市場上，勒索軟體的買賣已成為一大商機，我們必須認知一點，網路犯罪集團和一些政府背後支持的駭客，都已開始將最新的 CryptoWall 和 TorrentLocker 版本納入他們廣大的行動當中。趨勢科技網路安全長 Tom Kellermann 指出：「勒索軟體 Ransomware之所以蓬勃發展，正因為網路犯罪集團看到了它的發展潛力和容易取得的特性。」

資安廠商趨勢科技網路安全長 Tom Kellermann 指出：「勒索軟體之所以蓬勃發展，正因為網路犯罪集團看到了它的發展潛力和容易取得的特性。但最令人擔憂的是它已開始朝行動勒索軟體發展。」

恐嚇的伎倆加上進階惡意程式，讓加密勒索軟體犯罪集團能不斷從受害者身上獲利。尤其，我們在歐洲、中東、非洲、紐澳、北美等地區看到的這些迅速準確的攻擊行動，證明了我們有必要採取一些新的資料保護方法。沒有一種解決方案可以提供完整的防護。我們必須找出歹徒行動的方式、地點、時機及動機。很重要的一點是，企業必須與資安廠商 (如趨勢科技) 密切合作，借助他們豐富的專業知識來對抗加密勒索軟體的威脅。趨勢科技全球擁有 2,000 名以上的威脅研究人員，並且結合了自動化巨量資料分析與人工專業分析，為資安作業提供可採取行動的情報。兩者的結合才能有效蒐集、分析、回應今日最迫切的威脅。歹徒決不會放棄任何可大賺一票的機會，因此這類攻擊對企業造成的成本只會越來越高。要解決這些問題，我們必須防禦技術與人員雙管齊下，建立一套更聰明防禦機制以防範歹徒挾持資訊，確實保護我們的資訊安全。

原文出處：Crypto-Ransomware Attacks: The New Form of Kidnapping 作者：David Dunkel

【延伸閱讀】勒索軟體威脅不可輕忽主動偵測協助預警檔案個資保平安