Locker 病毒傳播不停、NAS 亦糟殃啟用快照功能、迅間還原檔案無難度

Locker 病毒傳播不停、NAS 亦糟殃

啟用快照功能、迅間還原檔案無難度

文: Oliver Lam / 評測中心

在一兩年前，網上開始流傳一款名為「 Locker 」之類的電腦病毒，它是透過遠程方式加密用家的電腦文件，然後向用戶勒索一定贖金才能夠將檔案解密。時至今日亦有類似的病毒通過不同方式流傳，有部份更能夠避過防毒軟件的偵測，令用家的重要文件構成威脅。通過外置硬碟或 NAS 等進行備份的確能夠為用家提供多一重保障，但究竟是否有進行備份就能夠萬無一失？病毒又會否將用家的備份都一併感染？

Locker 病毒一發不可收拾、網絡裝置亦糟殃

網上的「 Locker 」類型病毒相當多，當中有部份例如 CryptoLocker 、 CTB-Locker 、 CryptoWall 、 KeRanger 等的病毒名稱可能有不少用家曾經見過，早前更發現有一款針對 NAS 產品而「研發」的 SynoLocker 病毒，它們大多數都以 RSA4096 再配 AES256 方式對用家的檔案進行加密，部份甚至以雙重加密等方式進行，而解鑰只存放在騎劫者的伺服器上，威迫用家一手交錢一手交解鑰。

現時一般用家「自願地」對檔案進行加密的情況例如 NAS 系統加密，所採用的都只是 256-bit 的 AES ，單靠一般暴力方法並不能夠破解，到目前為止， RSA4096 以及 AES256 仍未有真正解密的方法。在外國不少軍用文檔亦是以 RSA4096 或 AES 256bit 作加密，以確保安全，可想而知 Locker 病毒利用 RSA4096 以及 AES256 方式去加密用家所有檔案後，要暴力地解密是何其因難。

網上有不少關於 Locker 類型的病毒資料

有不少苦主亦曾經受到類似病毒所影響、而且 NAS 內的檔案亦受牽連

這類病毒主要通過電子郵件方式去傳統，它們會以 ZIP 、 PDF 、 DOC 、 EXE 、 JS 等形式存在電子郵件的附件內，內容大多數都提及 Invoice 單據或者要求簽署文件等。從此可推測病毒是針對辦公室等使用者，因為辦公室的電腦會存放了不少重要文檔，加上對以上類型檔案的警覺性較低，相比一般個人用家，影響亦會更大，它們會要求中毒者透過虛擬貨幣 BitCoin 繳付贖金以換取解密，對於公司以及重要文檔被加密，屈服及交收贖金亦不出奇。

病毒通常通過電郵附件傳播、並偽裝成 ZIP 、 PDF 、 DOC 等檔案格式

有部份用家可能表示，只要小心地操作以及打開附件，就能夠避免這類病毒。話雖如此，但這類「 Locker 」病毒有不少都能夠成功繞過防毒軟件，而且它們會模仿成 PDF 或 DOC 等一般文檔，在用家以為安全的時候，一打開這個「假。 PDF 」後，內裡隱藏的 JavaScript 就會從伺服器取得加密金鑰，並將用家電腦的檔案進行加密，完事後加密金鑰會自我毀滅，並留下解密方式及繳付贖金途徑等。

在未感染病毒前、桌面的圖片能夠如常打開、網絡磁碟亦無任何異常

在測試前、網絡磁碟機即 NAS 裡面的文檔可以順利打開

化身研究員、臨床實驗測試毒性

為測試這類病毒的破壞力， HKEPC 決定以身試毒，設置了一台虛擬機，內裡預先擺放了不同類型的檔案例如相片等，另外不少公司都會掛載網絡磁碟機，連接公司的檔案伺服器去存放檔案，以便多人同時存取，所以虛擬機亦掛載了一個由 QNAP NAS 所建立的網絡磁碟機，內裡就存放了 DOC 、 XLS 、 JPG 等檔案，以模擬真實電腦操作。

剛好電子郵件系統就有一封染有「 Locker 」類型病毒的附件，下載後它標示為一個 ZIP 檔案，雙擊檔案執行後，系統的工作管理員程序迅間被關掉，即使透過「執行」指令去打開 Command 、 Msconfig 、 Taskmgr 等亦無效，全部都被發作中的病毒即時關閉，電腦亦開始有緩慢的感覺，相信是病毒開始將電腦的檔案進行加密處理，在數分鐘後，原本在桌面的 JPG 檔案被病毒加密，無法打開及預覽。

從電郵下載了一個屬於 Locker 類型病毒的執行檔

打開後病毒將電腦的檔案進行加密、並將工作管理員等程序全面禁用

經過十多分鐘後的「洗劫」，這個病毒完成它的任務，並彈出 HTML 、 TXT 、 JPG 等方式的檔案，向用家表示「你已中毒」並提供解密方法等，在視察災情期間亦發現，電腦掛載的網絡磁碟機即 NAS 裡面的檔案亦受到感染，不論是通過 Windows 去打開或直接由 NAS 的網絡介面去開啟，都會發覺大部份檔案的修改時間都變成數分鐘前，而 JPG 、 XLS 、 DOC 等檔案亦全部被加密。

正當以為只有掛載使用的網絡磁碟機受影響外，原來在在 NAS 裡面，其他共享資料夾都受到今次病毒所影響，檔案亦都被加密處理，經過查證後發現，病毒會追查網絡磁碟機的 IP 位置，並會嘗試存取所有共享資料夾，假若權限足夠進行寫入，就會一併將其納入感染成員之中。不少公司網絡架構都會採用 Microsoft Active Directory ，簡單來說，就是電腦的帳號與 NAS 等帳號相通，病毒就好像拿著通行證般在網絡上游走，在所有具備寫入權限的資料夾「播種」，所以就算用家依照建議定期備份檔案到 NAS 亦未必能夠抵禦這類病毒。