2016-03-24
Locker 病毒傳播不停、NAS 亦糟殃
啟用快照功能、迅間還原檔案無難度
文: Austin Wu / 評測中心


在一兩年前,網上開始流傳一款名為「 Locker 」之類的電腦病毒,它是透過遠程方式加密用家的電腦文件,然後向用戶勒索一定贖金才能夠將檔案解密。時至今日亦有類似的病毒通過不同方式流傳,有部份更能夠避過防毒軟件的偵測,令用家的重要文件構成威脅。通過外置硬碟或 NAS 等進行備份的確能夠為用家提供多一重保障,但究竟是否有進行備份就能夠萬無一失?病毒又會否將用家的備份都一併感染?



Locker 病毒一發不可收拾、網絡裝置亦糟殃

 

網上的「 Locker 」類型病毒相當多,當中有部份例如 CryptoLocker 、 CTB-Locker 、 CryptoWall 、 KeRanger  等的病毒名稱可能有不少用家曾經見過,早前更發現有一款針對 NAS 產品而「研發」的 SynoLocker 病毒,它們大多數都以 RSA4096 再配 AES256 方式對用家的檔案進行加密,部份甚至以雙重加密等方式進行,而解鑰只存放在騎劫者的伺服器上,威迫用家一手交錢一手交解鑰。

 

現時一般用家「自願地」對檔案進行加密的情況例如 NAS 系統加密,所採用的都只是 256-bit 的 AES ,單靠一般暴力方法並不能夠破解,到目前為止, RSA4096 以及 AES256 仍未有真正解密的方法。在外國不少軍用文檔亦是以 RSA4096 或  AES 256bit 作加密,以確保安全,可想而知 Locker 病毒利用 RSA4096 以及 AES256 方式去加密用家所有檔案後,要暴力地解密是何其因難。

 

SnapshotSnapshot

網上有不少關於 Locker 類型的病毒資料

Snapshot

有不少苦主亦曾經受到類似病毒所影響、而且 NAS 內的檔案亦受牽連

 

這類病毒主要通過電子郵件方式去傳統,它們會以 ZIP 、 PDF 、 DOC 、 EXE 、 JS 等形式存在電子郵件的附件內,內容大多數都提及 Invoice 單據或者要求簽署文件等。從此可推測病毒是針對辦公室等使用者,因為辦公室的電腦會存放了不少重要文檔,加上對以上類型檔案的警覺性較低,相比一般個人用家,影響亦會更大,它們會要求中毒者透過虛擬貨幣 BitCoin 繳付贖金以換取解密,對於公司以及重要文檔被加密,屈服及交收贖金亦不出奇。

 

Snapshot

病毒通常通過電郵附件傳播、並偽裝成 ZIP 、 PDF 、 DOC 等檔案格式

 

有部份用家可能表示,只要小心地操作以及打開附件,就能夠避免這類病毒。話雖如此,但這類「 Locker 」病毒有不少都能夠成功繞過防毒軟件,而且它們會模仿成 PDF 或 DOC 等一般文檔,在用家以為安全的時候,一打開這個「假。 PDF 」後,內裡隱藏的 JavaScript 就會從伺服器取得加密金鑰,並將用家電腦的檔案進行加密,完事後加密金鑰會自我毀滅,並留下解密方式及繳付贖金途徑等。

 

Snapshot

在未感染病毒前、桌面的圖片能夠如常打開、網絡磁碟亦無任何異常

Snapshot

在測試前、網絡磁碟機即  NAS 裡面的文檔可以順利打開

 

化身研究員、臨床實驗測試毒性

 

為測試這類病毒的破壞力, HKEPC 決定以身試毒,設置了一台虛擬機,內裡預先擺放了不同類型的檔案例如相片等,另外不少公司都會掛載網絡磁碟機,連接公司的檔案伺服器去存放檔案,以便多人同時存取,所以虛擬機亦掛載了一個由 QNAP NAS 所建立的網絡磁碟機,內裡就存放了 DOC 、 XLS 、 JPG 等檔案,以模擬真實電腦操作。

 

剛好電子郵件系統就有一封染有 「 Locker 」類型病毒的附件,下載後它標示為一個 ZIP 檔案,雙擊檔案執行後,系統的工作管理員程序迅間被關掉,即使透過「執行」指令去打開 Command 、 Msconfig 、 Taskmgr 等亦無效,全部都被發作中的病毒即時關閉,電腦亦開始有緩慢的感覺,相信是病毒開始將電腦的檔案進行加密處理,在數分鐘後,原本在桌面的 JPG 檔案被病毒加密,無法打開及預覽。

 

Snapshot

從電郵下載了一個屬於 Locker 類型病毒的執行檔

Snapshot

打開後病毒將電腦的檔案進行加密、並將工作管理員等程序全面禁用

 

經過十多分鐘後的「洗劫」,這個病毒完成它的任務,並彈出 HTML 、 TXT 、 JPG 等方式的檔案,向用家表示「你已中毒」並提供解密方法等,在視察災情期間亦發現,電腦掛載的網絡磁碟機即 NAS 裡面的檔案亦受到感染,不論是通過 Windows 去打開或直接由 NAS 的網絡介面去開啟,都會發覺大部份檔案的修改時間都變成數分鐘前,而 JPG 、 XLS 、 DOC 等檔案亦全部被加密。

 

正當以為只有掛載使用的網絡磁碟機受影響外,原來在在 NAS 裡面,其他共享資料夾都受到今次病毒所影響,檔案亦都被加密處理,經過查證後發現,病毒會追查網絡磁碟機的 IP 位置,並會嘗試存取所有共享資料夾,假若權限足夠進行寫入,就會一併將其納入感染成員之中。不少公司網絡架構都會採用 Microsoft Active Directory ,簡單來說,就是電腦的帳號與 NAS 等帳號相通,病毒就好像拿著通行證般在網絡上游走,在所有具備寫入權限的資料夾「播種」,所以就算用家依照建議定期備份檔案到 NAS 亦未必能夠抵禦這類病毒。

 

Snapshot

病毒會以不同方法提示用家如何進行解密

SnapshotSnapshot

除了桌面的檔案不能打開之外、網絡磁碟機的檔案亦受牽連、一同被加密

Snapshot

從 NAS 介面可以見到、除了已掛載的 Documents 被加密外、另一個沒有掛載的磁碟機亦受到病毒侵害 

SnapshotSnapshot

從系統的 Log 檔案可見、病毒會利用 Windows 自己的帳號去嘗試登陸其他網絡磁碟、所以就算非掛載的磁碟亦會受影響

 

發表評論