雖然惡意程式愈趨精密,但並不代表肆虐多時的勒贖程式(Ransomware)會因此而被淘汰。相反,發展成熟的勒贖程式已成為現今主流惡意程式類型之一,通過鎖定電腦或對檔案進行加密,從而對使用者進行勒索。根據Symantec安全數據資料顯示,勒贖程式威脅已蔓延至全球範圍,在過去1年間受勒贖程式影響最嚴重的12個國家中,有11個是G20組織的直接或間接成員國;其中,受影響最嚴重的國家包括:美國、日本、英國和義大利等。
而隨著穿戴裝置和物聯網等可連接設備日漸普及,勒贖程式或將面臨飛躍式的發展。Symantec最新研究發現,目前的勒贖程式,大都能輕鬆從手機跨越至穿戴設備,例如智能手錶等。
勒贖程式不斷進化
2011年至2012年間,愈來愈多攻擊者採用勒贖程式,作為網絡犯罪活動的手段。他們通過鎖定勒贖程式(Locker Ransomware)進行攻擊,以鎖定受害人的電腦,使其無法正常運作,繼而要求受害人付費解鎖。惟從2013年起,攻擊者開始使用加密勒贖程式(Crypto Ransomware),將電腦上的重要檔案進行加密,並要求受害人付費解密。雖然當中採用不同技術,但無論鎖定勒贖程式還是加密勒贖程式,均以迫使受害人支付費用,以重新獲取原本屬於他們的許可權來達成相同之目的。
LINE騙徒要求「朋友」代購點數卡的作案手法,相信大家時有聽聞。原來鎖定勒贖程式亦會要求受害人,在當地實體店通過支付現金來購買付款代碼,而該付款代碼亦可用於線上購物和服務。Symantec提醒使用者,面對任何來自網絡的刑事指控或警告,均應保持懷疑的態度,因當中極有可能涉及欺詐行為。如不幸感染鎖定勒贖程式,Symantec建議受害人切勿支付贖金,因為即使在付款後,勒贖程式可能不會解鎖電腦。反之,大多數鎖定勒贖程式均可以通過使用免費的防毒程式清除工具,從被感染的電腦上清除,如Norton Power Eraser 或 SymHelp等。
至於加密勒贖程式,則往往是開宗明義進行敲詐勒索,要求受害人付費贖回被加密的檔案。現代加密勒贖程式,使用行業標準的加密技術,同時採用了同步和非同步加密演算法,讓攻擊者可更快且更有把握地針對檔案進行加密。這意味著一旦檔案被加密,如果沒有金鑰,將無法對檔案進行解密。Symantec建議使用多層次安全解決方案,以防止勒贖程式在電腦上安裝,或與遠端伺服器通訊。此外,企業亦應持續備份重要的檔案和資料,定期作線上和離線備份副本,以確保企業數據安全,因即使支付贖金,網絡罪犯亦可能不會守諾為檔案解密。
勒贖程式魔爪伸向IoT
隨著物聯網高速發展,網絡罪犯進一步將勒贖程式的攻擊範圍,擴展至蓬勃發展的娛樂、空調、安全系統等家庭領域,甚至智能汽車也不能倖免。至於近年急速普及的穿戴式設備,如運動手帶及智能手錶等,開造了新興的流動應用市場,吸引了大量開發人員,更叫網絡罪犯垂涎。
Symantec早前便進行了一項測試,以了解Android Wear設備如何受到典型Android勒贖程式的感染。該測試僅須將當前的.apk格式的Android勒贖程式(Android.Simplocker),重新封包到一個新的Android Wear項目中,並創建一個新的.apk檔案。以Moto 360智能手錶為測試樣本,與Android手機進行配對後,並在手機上安裝新的.apk 檔案時,Symantec發現,手機如預期般受到勒贖程式感染。當智能手錶與手機進行配對後,勒贖程式也同時被推送到智能手錶上。當勒贖程式被安裝到智能手錶後,使用者若誤信其為有用的應用程式並執行該程式,將會導致智能手錶無法使用。Simplocker可每秒檢查勒贖資訊的顯示,如未能顯示,它將再次將勒贖資訊推送到螢幕上,阻止使用者正常使用該設備。此外,Simplocker還可以對儲存在智能手錶SD卡上的多種檔進行加密。
Simplocker在智能手錶上運行後,使用者只能從配對的手機上將其卸載。若能成功卸載,則Simplocker也將自動從智能手錶上刪除。若無法將其卸載,使用者可以將手機重置為出廠時設定,並在智能手錶上執行同樣的操作。值得注意的是, 出廠重置選項只能從手錶的功能表中設定,在Simplocker運行時則無法完成。Symantec並指出,按住手錶的硬體按鈕30秒,設備將關閉。在設備重啟和Simplocker再次運行之間,大約有20至30秒的空隙,使用者可利用該空隙啟動出廠重置流程,對智能手錶進行全面的清除,惟手錶上所有檔都將遺失。
沒有留言:
發佈留言