:::
宣導 謝存道 - 教務處 | 2015-10-26 | 點閱數: 667

危險程度:★★★★高度危險 

資安事件簡述:
史上最狠勒索軟體CryptoLocker開始入侵臺灣,企業或校園陸續傳出受害災情。這個軟體透過釣魚郵件入侵,會將受害者電腦的重要文件和檔案全數加密,導致檔案無法存取,而且駭客採用高超的加密技術,讓受害者無法自行復原,並限期3天支付9,000元臺幣贖金,否則將毀損解密金鑰。

入侵手法: 
使用「釣魚郵件」欺騙使用者開啟附件,常見以快遞公司如Fedex、UPS、DHS等名義發送郵件,並夾帶暗藏惡意軟體的壓縮檔附件,附件檔名還偽裝成xxxxxxxx.pdf.exe,因作業系統隱藏附檔名,容易看成PDF文件而誘騙受害者點選而入侵電腦。已有駭客利用木馬感染工具ZBOT打包這個惡意軟體,結合其他多種方式來入侵。 

攻擊方式
CryptoLocker會改以亂數命名,偽裝成系統應用程式目錄下的一支程式,並竄改開機腳本程式,讓作業系統一開機後就啟動CryptoLocker。 
惡意程式植入後,會向遠端遙控主機取得加密金鑰,再以2,048位元RSA和AES加密技術,暗中加密受害電腦內部檔案,直到完成重要文件加密後,發動攻擊,一方面佔住網路連線,讓受害電腦無法上網,同時拒絕使用者打開加密文件,並跳出要求付贖金的勒索訊息,限期3天,透過Bitcoin或其他匿蹤金流機制,交付贖金300美元,才能取得解密金鑰。 

解密方式:目前無法自行解密,得付贖金取得金鑰,取得金鑰後,得花3~4小時執行解密,但也有少數檔案無法完全救回,有受害者付了兩次贖金才取得金鑰。 

破壞對象:受害電腦內Word(doc、docx)、Excel(xls、xlsx)、PowerPoint(ppt、pptx)、JPG圖檔等近百種常見檔案格式。 

攻擊範圍:
●不只攻擊受害電腦內的重要文件和檔案 
●也會搜尋受害電腦連結的網路芳鄰、網路磁碟機、檔案伺服器等,攻擊公司內網所有共享的文件。 

危險程度:
●發出勒索信後,受害電腦無法上網,也無法開啟遭加密的文件。 
●加密後,使用者無法自行復原。 
●付贖金取得金鑰,也有少數檔案無法使用。 
●惡意程式加密內網共享文件時,會占用頻寬,導致內網速度超慢,受害電腦效能也會大減。 

員工個人自保方法:
1.不要開啟來路不明的郵件 
2.不要開啟可疑郵件的附件檔案 
3.立即更新防毒軟體 
4.立即執行防毒軟體掃描 
5.立即備份檔案,並確保備份檔與電腦隔離(或將備份檔改成唯讀狀態) 
6.落實每天備份和掃毒 

被駭後的緊急應變措施
1.立即切斷受駭PC的網路,避免災情擴大 
2.更新防毒軟體,清查內網其他電腦,並採取自保措施 
3.搶救還沒被加密的檔案 
4.若有備份,開始復原檔案 
5.評估受害災情,決定是否付贖金取得解密金鑰 
6.用新版防毒軟體清除,或乾脆重灌電腦

:::

語系選擇