【WannaCry】「靠嚇」變「綁架」 勒索軟件多年變異大解構

撰文:陳宇軒
出版:更新:

近日加密勒索軟件「WannaCry」肆虐全球,黑客針對微軟舊版Windows系統的漏洞,以更「主動」方式攻陷公共及家用電腦系統。
然而,加密勒索軟件的攻擊,初期以散播虛假電郵為主,引誘受害人下載附件或打開網址,從而將所有文件「上鎖」並勒索。由去年3月以偽裝帳單或發票電郵而取得成功的「Locky」,到後來會要脅刪除檔案的「Jigsaw」等,加密勒索軟件正迅速變種。
有資訊保安專家指,「WannaCry」的肆虐,反映黑客成功在作業系統找出缺口,估計黑客有致力研究作業系統的漏洞,未來或有更多主動且自動形式的網絡攻擊。

加密勒索軟件的變種速度極為迅速。(資料圖片)

初期勒索軟件的攻擊在2010年已出現,當時黑客以「靠嚇」為主,廣發「釣魚電郵」予公眾,聲稱是美國聯邦調查局或其他執法部門,掌握管有兒童色情物品的證據,除非繳款才會撤控,結果有人對自己抱懷疑,擔心被重判,因而受騙繳款。

「靠嚇」無用轉型「綁匪」

後來因「靠嚇」而上當的人愈來愈少,黑客轉型成為「綁匪」,散播偽裝真實公司域名(domain)的虛假電郵,當用家誤開附件,加密勒索軟件便會入侵電腦,把所有文件檔案「上鎖」,若公司電腦連接至公司伺服器,更會藉此入侵其他電腦,黑客此時會發出索取「贖款」的告示,以換取解密鑰匙,而「比特幣」則成為黑客索款常用方法,因只須電郵地址便可接收,執法部門更難追查。

「Locky」透過散播偽裝賬單或發票的電郵,引誘用戶下載來勒索。(資料圖片)

「Locky」揭開第一波勒索攻擊

加密勒索軟件發展迅速,攻擊模式及手法亦不斷變種。本港去年3月迎來加密勒索軟件第一波較嚴重的攻擊,當時「Locky」散播偽裝真實公司的電郵,附件則是偽裝賬單或發票,一旦用戶下載便會中招,直至5月「CryptXXX」出現,其陷阱則改為電郵中的超連結,引誘用戶點擊。

黑客除偽裝手法外,威脅方法亦有轉變,如「Jigsaw」會威脅用戶如不在指定時間繳交贖款,將逐步銷毁上鎖檔案;「Doxware」則威脅會在網上公開已上鎖檔案;「Popcorn Time」則要求中招者傳播加密勒索軟件,成功感染2個新用戶可解鎖檔案,圖擴散感染。而「WannaCry」的出現,更反映黑客找到作業系統的缺口,令網絡攻擊變得更主動。

「WannaCry」的出現反映黑客找到作業系統的缺口,可主動執行入侵攻擊。(資料圖片)

遊戲機、機頂盒或成潛在攻擊對象

香港互聯網協會網絡保安及私隱小組召集人楊和生表示,「WannaCry」爆發反映黑客成功研究出作業系統的漏洞,估計未來研製出更多針對作業系統漏洞的加密勒索軟件機會更大,他指黑客一直希望執行更多網絡自動化攻擊,令用戶毋須下載任何附件都受感染,因此接駁網絡的電子遊戲機、機頂盒等均是潛在攻擊對象,呼籲用戶定期更新堵塞漏洞。