近日有不少媒体纷纷报导勒索软件的灾情,部分这类恶意程式会将受害电脑中的档案加密,并以高价向受害者兜售解密金钥,若是受害者没有在期限内交付赎金,解密金钥就会惨遭“撕票”,遭加密的档案将再也无法开启。这听起来像是巫术的勒索方式,其实只是应用非对称式加密技术,不过这也代表受害者真的无法自行救回档案。
勒索软件主动锁定你的档案
有个笑话是这么说的,小明因为脚踏车常常遭窃,一气之下便用 10 个大锁锁住脚踏车,还在车上留张纸条,写道“哈哈,看你怎么偷”。某天小明牵车的时候,发现车上多了一个锁和另一张纸条,上面写着“哈哈,看你怎么骑”。这个情节与许多勒索软件的行为相当类似。
以 2013 年 9 月出现的 CryptoLocker 勒索软件为例,它会感染安装 Windows 操作系统的电脑,在 CryptoLocker 植入受害电脑后,会自动以 RSA 加密法将电脑本机与在同一局域网络中的特定类型档案进行加密,这时受害者已经无法开启受影响档案。
之后勒索软件会要求受害者在期限内交付赎金,才能将这些档案解密,否则将会把解密金钥永久销毁,受害者将再也不能打开这些档案。更惨的是,就算将受害电脑中的 CryptoLocker 病毒顺利清除,也只能防止它继续漫延,至于已经遭到加密的档案,依然无法解开。
▲ CryptoLocker 将受害电脑中的档案加密后,接着就会以高价向受害者兜售解密金钥。(Source:Flickr/Christiaan Colen CC BY 2.0,本图采用创用 CC 姓名标示-相同方式分享)
▲ 以下图解 CryptoLocker 运作原理。远端攻击者会先将病毒植入受害电脑。
▲ 接着攻击者会将加密金钥传送至受害电脑,病毒就会使用加密金钥将档案加密,这时候受害者已经无法再开启档案了。
▲ 随后攻击者即展开勒索。
▲ 受害者需交付赎金换取解密金钥,才能开启被加密的档案。
采高安全性非对称加密,难以破解
或许读者比较熟悉对称加密技术,但是对非对称加密技术则感到比较陌生,我们在这边暂且不谈其详细原理,只讨论在使用时两者的差别。
对称加密有如 ZIP 压缩档的密码,在加密与解密时都使用同一组密码,而非对称加密则较常用于网络传输,它的特色是在加密时使用的密码称为加密金钥,在解密时则必需使用称为解密金钥的密码,而 2 个金钥并不相同。其概念可参考下方示意图表。
在 CryptoLocker 运作时,攻击者的电脑会产生一组加密、解密金钥,透过网络将加密金钥传送至受害电脑,并将档案加密,由于受害者的电脑中并没有解密金钥,所以无法将档案解密,因此无法读取被影响的档案。
由于解密金钥不曾于网络上传输,除非受害者反过来主动入侵攻击者的电脑,否则无法取得解密金钥,再加上 CryptoLocker 采用的是金钥长度为 1024bit 甚至是 2048bit 的 RSA 加密算法,在实作上仍无法直接破解密码、救回档案。
做个结论,万一不幸遭到勒索,即便可以清除病毒本体,却还是没有办法自行开启被加密的档案,因此只能乖乖交付赎金。另一方面,虽然我们没办法事后补救,但是还是可以事前预防,读者都应该养成不点击可疑网址、不安装来路不明程式的习惯;此外,还需勤备份重要档案,至少需做到定期将重要档案烧录成光碟、复制到外接硬盘保存(而不是从 C 槽复制到 D 槽或是云端同步资料夹),才能避免悲剧发生。
▲ 对称加密技术在加、解密时都使用同一组密码,其概念容易理解。
▲ 非对称加密技术在加、解密时,则使用不同的密码(即加密金钥与解密金钥),提高了受害者遭 CryptoLocker 感染时,自己解开档案的困难。至于 2 种金钥的产生方式与其数学模型,可参考维基百科说明(该文中公钥、私钥即为加密金钥、解密金钥)。
(本文由 T客邦 授权转载)
