IT 研究室 ( 前IT DBA's 資訊站): Cryptolocker 2.0藏身非法下載破解版Office，變種藉隨身碟散布

使用和諧版Microsoft Office 要小心囉

Ref:

http://www.ithome.com.tw/itadm/article.php?c=84771

新版CryptoLocker和原本惡意程式最大的差別在於散布方式的不同，變種惡意程式將透過USB隨身碟，擴散到其他使用者的電腦上。

在2013年勒索軟體Cryptolocker因為將許多受駭者的電腦檔案加密，必須支付贖金才能夠獲得解密金鑰，也讓Cryptolocker惡名甚囂塵上。

而這個惡意程式日前出現了新的變種病毒，臺灣趨勢科技資深技術顧問簡勝財表示，新版CryptoLocker和原本惡意程式最大的差別在於散布方式的不同，變種惡意程式將透過USB隨身碟，擴散到其他使用者的電腦上。

新舊版勒索軟體最大差異點在於傳播路徑不同
趨勢科技日前發現一個惡意程式Crilock.A新變種，惡意程式作者自稱這個是新版勒索軟體Cryptolocker 2.0。

趨勢科技在2013年耶誕節前後發現這個變種惡意程式，不過，簡勝財認為，Cryptolocker 2.0雖然有一些和原版惡意程式功能上的差異，但因為新版惡意程式並沒有強化攻擊功能或提高加密能力，Cryptolocker 2.0只能說是一個模仿的、山寨版Cryptolocker勒索軟體。

進一步比較兩款惡意程式的差別，簡勝財指出，惡意程式傳播途徑是兩者最大的差異。以Cryptolocker而言，主要是透過垃圾郵件和社交工程郵件散布，但Cryptolocker 2.0則是在一些P2P的論壇中，偽冒成破解版的微軟Office或者是Adobe Photoshop等應用程式。

他說，當使用者下載安裝這些破解版程式時，也就是安裝了惡意程式。而當使用者的電腦安裝該安裝惡意程式後，會透過USB隨身碟，藉由在不同電腦之間交換資料的同時，趁機將惡意程式散布到其他臺使用者的電腦上。

除了傳播途徑外，情資回報的網址產生方式，也有極大的差異。

簡勝財表示，Cryptolocker 1.0從駭客主機下載加密使用者電腦的加密金鑰時，是透過惡意程式內建的演算法，隨機演算出一個回報情報的控制與指令伺服器（C&C Server）網址；但是Cryptolocker 2.0則是將數個回報的網址，內嵌在惡意程式中，並無法隨機產生。

他指出，因為Cryptolocker 2.0將回報的控制與指令伺服器的網址寫死在惡意程式中，也增加例如防毒軟體防禦變種Cryptolocke的可行性。

另外，Cryptolocker 2.0版本的新功能，也可以加密MP3或MP4等多媒體檔案。簡勝財表示，其實Cryptolocker在2013年11月在臺灣傳播時，之後便陸續出現幾款變種的惡意程式，而這些變種惡意程式就已經會加密第一版惡意程式做不到的多媒體檔案。

備份還是最重要的防禦之道
因為勒索軟體主要目的是要受駭者支付贖金，簡勝財認為，最基本的防禦依舊是安裝防毒軟體。不過，使用者在面對這類勒索軟體的威脅時，監控各種應用程式檔案存取的合理性，也是防範這類勒索軟體的重要方式之一。

他以趨勢科技為例，在相關的防護產品中，從上波Cryptolocker盛行後，就新增行為監控防護機制。簡勝財表示，從各種應用程式的簽章、是否來是知名網站、應用程式的存取或修改是否合理等，來判斷這樣的應用程式行為是否合理。他說，一旦出現不合理之處，防護產品則會主動發出警告，提醒電腦使用者注意。

當然，面對這類勒索軟體的威脅，簡勝財認為，避免好奇心殺死貓，不點擊來路不明的網址是基本的防禦方式，但更重要的是，要落實重要檔案的定期甚至是自動備份機制。

畢竟，他說，如果有重要檔案被駭客加密，若沒有備份檔案可以解危，必須支付贖金以取得解密金鑰，就是對駭客妥協了。文☉黃彥棻