当前位置:主页 > W阅生活 >勒索软体解析:技术上真的无法自行救回档案 >

勒索软体解析:技术上真的无法自行救回档案

创始人
2020-06-19 阅读 510
勒索软体解析:技术上真的无法自行救回档案

近日有不少媒体纷纷报导勒索软体的灾情,部份这类恶意程式会将受害电脑中的档案加密,并以高价向受害者兜售解密金钥,若是受害者没有在期限内交付赎金,解密金钥就会惨遭「撕票」,遭加密的档案将再也无法开启。这听起来像是巫术的勒索方式,其实只是应用非对称式加密技术,不过这也代表受害者真的无法自行救回档案。

勒索软体主动锁定你的档案

有个笑话是这幺说的,小明因为脚踏车常常遭窃,一气之下便用 10 个大锁锁住脚踏车,还在车上留张纸条,写道「哈哈,看你怎幺偷」。某天小明牵车的时候,发现车上多了一个锁和另一张纸条,上面写着「哈哈,看你怎幺骑」。这个情节与许多勒索软体的行为相当类似。

以 2013 年 9 月出现的 CryptoLocker 勒索软体为例,它会感染安装 Windows 作业系统的电脑,在 CryptoLocker 植入受害电脑后,会自动以 RSA 加密法将电脑本机与在同一区域网路中的特定类型档案进行加密,这时受害者已经无法开启受影响档案。

之后勒索软体会要求受害者在期限内交付赎金,才能将这些档案解密,否则将会把解密金钥永久销毁,受害者将再也不能打开这些档案。更惨的是,就算将受害电脑中的 CryptoLocker 病毒顺利清除,也只能防止它继续漫延,至于已经遭到加密的档案,依然无法解开。

勒索软体解析:技术上真的无法自行救回档案

CryptoLocker 将受害电脑中的档案加密后,接着就会以高价向受害者兜售解密金钥。勒索软体解析:技术上真的无法自行救回档案

以下图解 CryptoLocker 运作原理。远端攻击者会先将病毒植入受害电脑。勒索软体解析:技术上真的无法自行救回档案

接着攻击者会将加密金钥传送至受害电脑,病毒就会使用加密金钥将档案加密,这时候受害者已经无法再开启档案了。勒索软体解析:技术上真的无法自行救回档案

随后攻击者即展开勒索。勒索软体解析:技术上真的无法自行救回档案

受害者需交付赎金换取解密金钥,才能开启被加密的档案。採高安全性非对称加密,难以破解

或许读者比较熟悉对称加密技术,但是对非对称加密技术则感到比较陌生,我们在这边暂且不谈其详细原理,只讨论在使用时两者的差别。

对称加密有如 ZIP 压缩档的密码,在加密与解密时都使用同一组密码,而非对称加密则较常用于网路传输,它的特色是在加密时使用的密码称为加密金钥,在解密时则必需使用称为解密金钥的密码,而 2 个金钥并不相同。其概念可参考下方示意图表。

在 CryptoLocker 运作时,攻击者的电脑会产生一组加密、解密金钥,透过网路将加密金钥传送至受害电脑,并将档案加密,由于受害者的电脑中并没有解密金钥,所以无法将档案解密,因此无法读取被影响的档案。

由于解密金钥不曾于网路上传输,除非受害者反过来主动入侵攻击者的电脑,否则无法取得解密金钥,再加上 CryptoLocker 採用的是金钥长度为 1024bit 甚至是 2048bit 的 RSA 加密演算法,在实作上仍无法直接破解密码、救回档案。

做个结论,万一不幸遭到勒索,即便可以清除病毒本体,却还是没有办法自行开启被加密的档案,因此只能乖乖交付赎金。另一方面,虽然我们没办法事后补救,但是还是可以事前预防,读者都应该养成不点击可疑网址、不安装来路不明程式的习惯;此外,还需勤备份重要档案,至少需做到定期将重要档案烧录成光碟、複製到外接硬碟保存(而不是从 C 槽複製到 D 槽或是云端同步资料夹),才能避免悲剧发生。

勒索软体解析:技术上真的无法自行救回档案

对称加密技术在加、解密时都使用同一组密码,其概念容易理解。勒索软体解析:技术上真的无法自行救回档案

非对称加密技术在加、解密时,则使用不同的密码(即加密金钥与解密金钥),提高了受害者遭 CryptoLocker 感染时,自己解开档案的困难。至于 2 种金钥的产生方式与其数学模型,可参考维基百科说明(该文中公钥、私钥即为加密金钥、解密金钥)。