范健文:一封電郵令資料「被加密」?

Share This:
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

范健文/網絡保安專家

近日病毒界的熱門話題非加密勒索軟件(Ransomware)莫屬。它除了能無聲無息地加密個人電腦中的檔案,更可以順藤摸瓜潛入共用伺服器,加密封鎖整個公司,甚至公營機構的檔案。

外國已揭發部分醫療機構因被Ransomware封鎖病人檔案,導致日常運作及救援服務癱瘓;而本港多間學校、中小企亦屢屢傳出被Ransomware入侵的個案,情況令人擔憂。更重要的是,Ransomware操作者更是不論對象、只向錢看的「不法商人」。因此身為一般家庭用戶的你也不能掉以輕心,不然隨時可能因一封電郵而失去電腦中的珍貴檔案。

什麼是Ransomware?

Ransomware主要透過釣魚電郵感染電腦,將用戶電腦的檔案及內聯網檔案加密,並要求用戶支付贖金來換取解密密鑰。釣魚電郵會載有壓縮檔案附件 (zip 檔案)-甚至一般文檔(doc檔案),內裡包含一個偽造 PDF 文件的執行檔、Java Script檔案或.exe執行檔。當用戶打開這個執行檔案,電腦便會受到感染。

加密後,惡意程式會把加密密鑰回傳到指令及控制伺服器 (C2 server),並在受感染的電腦留下勒索訊息,要求用戶支付指定金額的比等幣 (BitCoin),以換取解密密鑰,否則唯一的解密密鑰將被刪除。(資料來源:HKCERT)

如何得知電腦已被Ransomware入侵?

Ransomware入侵電腦後,用家還能使用電腦嗎?

部分Ransomware的軟件(如Locky)只會加密檔案,用家仍然可以使用作業系統,也可以正常上網(畢竟要繳付贖金)、使用其他軟件:「因為他們的目的是為錢,要求的價錢也不算太高。(約為$2-4 Bitcoin)受害者可能會覺得不算昂貴,便會考慮繳付。」

被加密的檔案包括文檔、Excel和資料夾等,因此你的功課草稿、旅行照片、珍藏片集通通不能幸免。不同駭客以盜取資料、破壞系統為目的,Ransomware的操作者目的只為求財,受害者還能使用電腦的部分功能。不過二O一六年三月下旬,德國出現一種名為Petya的新Ransomware,會加密電腦的Master Boot Record,令受害者未能開啟電腦。雖然已有當地資訊保安公司找出解決方法,但Ransomware在數天內可以有不同變種,大家還是需要保持警覺。

傳播途徑

• 電郵附件
• 瀏覽網頁:因為有些網站保安做得不夠好,被人入侵後被加入了惡意程式碼,最終可導致其他用戶只瀏覽網站,便會受感染
• 包括常用CMS系統如Wordpress,甚至學校網站
• 網頁上的廣告欄位:可能是1/20的橫額廣告,點擊後才會觸發程式運行
• 手機: 按下不明連結或下載非官方軟件

一般用戶為何容易受襲?

一.專攻標題黨

正所謂「騙徒手法層出不窮」,Ransomware進化至今日,偽裝手法已經變得十分高明。Eric指,Locky會在電郵主旨(Subject)和內容部分包含”Invoice”、”Attachment”等字眼,降低會計或行政人員的警覺。

二.扮Frd子

Ransomware會花上一點時間「研究」你的電郵收件匣,再模仿為你的同學、同事、上司或老闆,用同樣的域名傳送電郵給你,行內人稱為為Spoofing Attack,令人防不勝防。

三.披著羊皮的狼

打開壓縮檔案附件(zip 檔案)一看,你只會看見內容為一般文檔(doc檔案)、 PDF 文件的執行檔、Java Script檔案等,外表看起來不像病毒,甚至連防毒軟件也未必能識破它的偽裝

四.公司內有大量連線電腦

Microsoft的代表劉耀麒又解釋,假設事發地點為電腦房,惡徒入侵一部電腦後,可以得到登入用的用戶名稱及密碼(Username/Password),然後可以不停嘗試,直至找出你的「管理員」(Admin)密碼或連上後台伺服器。病毒可以不停遊走,只要有一名用戶為個人電腦和共用資料夾設定同樣的用戶名稱及密碼,也會助病毒找到封鎖全校檔案的路徑。

此外,職員設定「共用權限」(Share Permission)的時候可能貪圖方便,直接設定為 “Everyone Full Control “,令病毒蔓延得更快。

原刋於http://www.menxpat.com/post/14908

成立於2015年8月,聚焦男士最新的流行消費資訊,內容涵蓋高級時裝、鐘錶珠寶、名貴汽車、個人護理、佳餚美酒等範疇,並定期舉辦各式各樣的會員交流會,全面引領都會型男打造時尚優質的生活方式。

 


Share This:
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Comments