加密勒索軟件︰鎖上你的檔案 不付贖金打不開

近年勒索軟件開始擴散，越來越多電腦甚至手機都被「綁架」。「綁匪」利用勒索軟件控制住電腦，讓受害者無法使用；又或將檔案加密，令其無法開啟，再迫使受害者付贖金解決——雖然「綁匪」仍有可能「撕票」。而比特幣（Bitcoin）以及Tor等技術發展，讓勒索軟件變得更難打擊。

最早的「綁匪」

1989年，一個名為AIDS的木馬程式，在感染電腦後會數算電腦的開機次數。一旦數到90，程式便會把C:\上的檔案目錄隱藏，並把檔案名稱加密，令系統無法使用。（也有部份版本沒這個耐性，感染後立即發作。）這時，電腦便會告訴受害人需要更新條款，以及聯絡PC Cyborg公司付費。

程式作者Joseph Popp博士不久後被發現及拘捕，面對勒索控罪。但因其精神狀態被判定為不適合審訊，最終獲得釋放。

AIDS可算是最早的勒索軟件，並利用簡陋的加密方式令受害者無法使用電腦。後來電腦專家Jim Bates分析該軟件，發現它並沒有改變任何檔案內容，僅搞亂了檔名，只要知道加密機制便可回復原狀。後來的兩個軟件AIDSOUT及CLEARAID，分別可移除AIDS和把檔名變回正常，這個電腦上的AIDS不再是「不治之症」。

網絡時代的勒索軟件

到互聯網時代，勒索軟件的傳播——一如其他電腦病毒及木馬程式——變得更普遍。2005至2009年，勒索軟件在俄羅斯及東歐出現，但運作模式有個大問題︰當時仍未流行網上付款，很多時都要求受害人以短訊式形付贖金。

過去10年，各式各樣的勒索軟件不斷滋擾用家。根據電腦保安公司賽門鐵克的介紹，早期的勒索軟件會偽裝成微軟鎖定電腦，要求用家以電話付款，以換取密碼去啟動電腦。也有勒索軟件使用另一策略︰受害人的電腦上會顯示一張色情照片，必須付款才能移除。賽門鐵克表示，後一種策略似乎比較有效，因為隨後的勒索軟件都一致採取——直到2011年。

2011年勒索軟件有三大轉變︰首先它們不再使用色情照策略，改為偽裝成執法部份；其次軟件改為針對德語用家，案件由俄羅斯轉移到歐洲；最後付款模式不再是短訊或電話，而是預先付費的電子系統。

加密勒索軟件復興

2013年9月，勒索軟件CryptoLocker出現。CryptoLocker使用RSA公匙加密技術，鎖上了受害人部份檔案。由於RSA是目前最難解開的加密技術之一，受害者必須得到私人密匙才可開啟被鎖上的檔案，因此不得不付贖金。受害人可選擇用比特幣支付，這使得追蹤「綁匪」的工作更加困難。

Photo Credit： Andrew Brookes/Corbis

由2013年9月至2014年5月，最少50萬電腦受CryptoLocker感染，可見其傳播力驚人。受其影響的還包括一個位於麻省的警察分局，他們的電腦同樣受到感染，最終付了兩個比特幣（當時約值750美元）。

2014年6月，美國聯邦調查局找到了傳播CryptoLocker使用的伺服器，令保安公司Fox-IT及FireEye在伺服器中找到密匙。於是他們開發解密軟件DecryptCryptoLocker，受害人把被鎖定的檔案上載到其網站上，便能獲得解密所須的密匙。

由於CryptoLocker非常成功，有不少人模仿製作出類似的勒索軟件。其中一個叫做CryptoDefense，不單要求受害人付贖金，還規定4天內不交錢的話贖金加倍。「綁匪」更要求受害人使用Tor網絡傳送款項，減少被追蹤的機會，也很貼心地提供指南教受害人如何下載及安裝Tor。然而勒索者沒注意的是，軟件使用的加密密匙在受害人的電腦產生，於是不付贖金仍然有可能解開檔案。

勒索集團的豐厚收入

即使CryptoDefense設計上有個大漏洞，去年3月賽門鐵克透過其中2個用作付贖金的Bitcoin地址，估計CryptoDefense背後的集團每日收入最少3萬4千美元（按當時匯率計），按此比例月入將近40萬美元之多。

科技新聞網站ZDNet追蹤4個受CryptoLocker受害者放上網的Bitcoin地址，發現在短短3個月期間，已有約4萬2千個比特幣的交易，當時（2013年底）價值近2千8百萬美元。

現況

在CryptoLocker倒下後，現在仍然有不同種類的勒索軟件橫行。電腦保安公司Fox-IT認為，最具影響力的三個家族分別是CryptoWall、CTB-Locker及TorrentLocker。

CryptoWall就像CryptoDefense，但堵塞了其漏洞。它不單可以鎖住電腦上的檔案，還能鎖上其他連接電腦的儲存裝置。在某些最新版本，其伺服器甚至隱藏在Tor網絡上。贖金由200至5000美元不等，亦容許購買軟件的勒索集團分紅——只要他們幫有宣傳。

CTB-Locker用上另一種加密方式，使用Tor網絡及比特幣收取贖金，同樣有分紅計劃。TorrentLocker則會從受害人的電郵中傳播開去，Fox-IT計算它取得260萬個電郵地址。

預防勝於治療

畢竟交了贖金也不一定能取回檔案，提防勒索軟件總比付高昂贖金好。目前為止，電腦保安公司仍未有完全防止勒索軟件的方法，但有些基本技巧可以減低中招機會。

首先，必須安裝防毒軟件，而且開啟自動更新，確保電腦得到最新的保護。其次，不要胡亂打開檔案，特別是來歷不明的文件、程式，在網上下載檔案後也要用防毒軟件掃瞄一次才開啟。此外，讀者應該定期備份檔案，跟電腦中的檔案分開（例如存在外置硬碟中），以防萬一。

• Hacker Lexicon: A Guide to Ransomware, the Scary Hack That’s on the Rise (Wired)
• CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin (ZDNet)
• CryptoDefense, the CryptoLocker Imitator, Makes Over $34,000 in One Month (Symantec)
• Ransomware: A Growing Menace (Symantec)
• CryptoLocker Ransomware (Dell Secure Works)
• The state of Ransomware in 2015 (Fox IT)
• Cryptolocker victims to get files back for free (BBC)
• 偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊（Trend Labs）
• 勒索軟體令人意想不到的經營手法!（Trend Labs）