跳到主要內容

CryptoLocker惡意軟體與偽裝程式實驗

最近某員工的電腦收到了勒索信,內容是英文的,和下圖類似,
大致是說檔案都已經以RSA 2048位元加密了,在期限內必須解密,
否則就永遠無法使用檔案,而解密的條件是必須在期限內付款,
用比特幣或儲值轉入的方式購買金鑰與解密程式。

這是2013年的CryptoLocker病毒,主要以攻擊Windows系統。
CryptoLocker會偽裝成一個合法的電子郵件附件,如果被人執行,
該惡意軟體就會開始加密本地與內部網路的特定類型檔案,
而關鍵解密的私人金鑰則是在惡意軟體所控制的伺服器上。

因為該員工具有可以自由存取內部公用資料夾的權限,
所以不止自己電腦內重要的檔案,連公用資料夾也被加密了。
雖然我們的政策是公用資料夾僅為交換及非重要性文件使用,
但是實際上,使用者還是抱怨連連。
更重要是員工自己的電腦,通常都有工作記錄或重要檔案。

雖然我們都有強制安裝防毒軟體,也都定期更新病毒碼,
但是病毒變種很快,手段也千奇百怪,所以還要自己要注意。
雖然大家都知道不要去執行來路不明的郵件附件,
可是如果郵件附件偽裝成看起來是我們熟悉的檔案格式,
通常我們的警覺心就會減少了。

下面是我自己試著偽裝一個程式:putty.exe,
它是ssh client,是合法無害的程式,修改圖示後,
偽裝成Word檔如下圖,那一個才是真的word檔?
如果它是郵件附件寄出去,您會不會試著開啟看看。


因為Windows預設是將已知的副檔名(文件擴展名)隱藏,
而以圖示(ICON)來表示檔案的類型,就像上圖的Word,
我們看到圖示就會認定它是Word的檔案,可是真相如下,
其中檔案名稱為TEST的是執行檔(副檔名為.exe),
而不是Word檔案(副檔名為.docx)。
所以當我們開啟錯誤的Word檔,其實就是執行了病毒檔。

執行檔名為TEST後可知它是putty的程式,並沒有開啟Word。

開啟副檔名的方法如下(Win7),開啟「資料夾和搜尋選項」

把「隱藏已知檔案類型的副檔名」的勾選取消。


解密Cryptolocker
-------------------------------------------------------------------------
網路上安全研究團隊已經建立了名為 Decrypt Cryptolocker 網站。

在網站的畫面上輸入電子郵件地址,上傳「被加密」的檔案,
最後輸入畫面顯示的認證文字,按下「Decrypt it!」。

之後會收到一封含郵件,內容含有金鑰(RSA PRIVATE KEY)。
再依指示進行解密,但是是否能解密及解密後檔案是否可用,
我因為沒有實際測試過,所以只能先記錄下來。

參考來源:
http://linuxpilot.com/cryptolocker
https://www.dontwatchme.org/tag/cryptolocker/
http://zh.wikipedia.org/wiki/CryptoLocker

留言

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Win 10 工作排程無法執行bat批次檔

利用Win 10的工作排程器來設定每日自動執行的批次檔,單獨執行批次檔沒問題,但是放在排程上就是無法執行。 後來試了幾種網路上提供的方式,其注意的事項如下: 1、在「安全性選項」選擇「只有使用者登入時才執行」並取消「以最高權限執行」。 2、在「設定」中選擇「Windows 10」 3、批次檔內的執行檔需以完整的路徑執行,或設定PATH路徑。 3、批次檔中如果帶有中文的路徑,則文字編碼類型必需是ANSI碼,       我的批次檔一開始就是UTF-8碼,但是單獨執行沒有問題,排程上就是有問題,       最後在批次檔中加入暫停指令pause才發現的。 4、如果想選擇「不論使用者登入與否均執行」,則在「設定」必須選擇「Windows Server 2003、Windows XP或Windows 2000」,    但是上述的選項只有在新增工作程程時才會出現,原有的工作排程是不會有此選項