美國聯邦調查局(FBI)與國際組織和10多國政府通力合作,在日前起訴了策劃在2013年下半流行的Cryptolocker惡意勒索程式首腦。但在2014年5月又又出現了另一個勒索程式CryptoWall,以類似的手法,加密電腦中重要的檔案,再藉機勒索,台灣、香港等地也開始陸續有災情傳出。
CryptoWall的透過電子郵件進行散播,電子郵件中夾帶一個壓縮檔,解壓縮後可看見一個圖示為PDF,但實際上是利用反轉字元偽裝為PDF檔案的.scr檔。
若不慎執行了惡意程式,被執行的該隻惡意程式隨即自動刪除,並在電腦的Temp資料中留下兩隻程式,分別為sicac.exe與vofse.exe,其中vofse.exe為CryptoWall的主程式。接下來此惡意程式會與tamayk-kicker.de、dominicanajoker.com、likeyoudominicana.com這幾個位址通訊,並將電腦中文件與影音檔加密。
加密的檔案類型舉凡:.doc、.txt、.eml、.pdf,甚至連去年CryptoLocker不加密的影音檔,如:.mp3、.wav等,都為其加密的對象,加密的過程中會產生.7wf的暫存檔,隨後原始文件即被刪除,留下被加密後的檔案,並開啟說明情況網頁,要求受害者至特定網頁付款才能解密,如果你連網付款網頁有困難,這隻惡意程式的做者也「好心的」提供你下載洋蔥路由(Tor,The Onion Router)的連結,方便你「穿牆」。
付款的方式很特別,要求在5天內支付約等值於500美金的比特幣(Bitcoin)用以解密;若超過這個時間,解密的價格將提高為原要求金額的2倍。
中了CryptoWall後,在HKEY_CURRENT_USER\Software下會產生一個特定的機碼,記錄電腦中被加密的檔案有哪些。被加密的檔案毫無可讀性,目前也沒有辦法直接還原解密。建議企業需對CryptoWall提高防範,安裝並更新防毒軟體於Antispam的機制。中華數位的SPAM SQR與Content SQR現在已可協助抵禦類似的攻擊,詳請至官網查詢。