勒索軟件的進化：雙重勒索和虛假解密工具

勒索軟件是危害最大和傳播最廣泛的網絡保安威脅之一。黑客會先入侵用戶的電腦，然後透過加密方法鎖上電腦內的檔案，要脅用戶繳付贖金以解除被鎖定的檔案。

香港電腦保安事故協調中心（HKCERT）持續關注勒索軟件的動向，為用戶提供網絡保安建議。HKCERT 在 2019 年末刊出一篇名為《勒索軟件新趨勢》的保安博錄，分析勒索軟件趨勢和七個較普遍的勒索軟件。

2020 年上半年，我們發現有越來越多勒索軟件犯罪集團不斷使用新型網絡攻擊勒索電腦用戶。在本篇博錄，我們會分析兩個勒索軟件的新趨勢，分別是雙重勒索和虛假解密工具。

1.   雙重勒索

用戶在應對勒索軟件威脅時，應使用定期備份和離線存儲的方法，從而有效保護重要數據。如果電腦檔案遭受勒索軟件加密，用戶可以從離線備份恢復檔案。

勒索軟件集團開始使用「雙重勒索」這種新策略，意圖增加勒索的成功率。

黑客先截取受害者的大量敏感數據，再加密其數據庫，然後勒索受害者繳付贖金；倘若受害者無視威脅，勒索軟件集團便會進一步威迫受害者，將會在互聯網上公開其敏感資料，以最終達到收取贖款的目的。除此之外，勒索軟件集團更會非法拍賣數據以獲取更高回報。

在過去 6 個月，我們觀察到勒索軟件針對知名公司的攻擊有上升趨勢，而這類公司皆擁有大量敏感數據；更一間在香港的大型零售公司^[1]遭受勒索軟件雙重勒索攻擊。

以下是兩個最活躍使用雙重勒索的勒索軟件集團。

1.1.    Maze 勒索軟件

有勒索軟件集團於 2019 年 11 月首次利用 Maze 雙重勒索軟件，竊取一間大型美國保安公司^[2]約 5GB 的敏感數據，並上載至數據洩漏網站，威脅保安公司支付贖金。Maze 主動攻擊指定目標，更通過發布其他勒索軟件集團（Lockbit 和 Ragnar Locker）竊取的數據，與他們合作。

Maze 勒索軟件集團主要針對託管服務提供商（MSP），然後進一步入侵 MSP 的客戶。入侵手段包括利用網絡釣魚郵件以及對遠端桌面服務進行攻擊。一旦取得目標系統的訪問權限，就會使用遠端 Shell 腳本，通過修改 Active Directory 中的組策略以獲得 Windows 遠端管理權限，竊取敏感數據並部署勒索軟件來進行後續攻擊。

1.2.    REvil (Sodinokibi) 勒索軟件

我們在之前的博錄中分析過 REvil（也稱為 Sodinokibi ）。今年 6 月初，REvil 的勒索軟件集團開始拍賣聲稱從一間農業公司竊取的數據，並指會有很多受害者。該舉動不單顯示勒索手段升級，亦反映勒索軟件集團試圖使用新式不法途徑獲利。而其他攻擊者從非法拍賣途徑中得到的數據，或會令受害者再次遭受攻擊，例如攻擊者可以利用洩漏的數據對目標進行網絡釣魚攻擊。

2.   虛假解密工具

一旦受害者的裝置被勒索軟件加密，第一個想到的解決方法是搜尋恢復數據的解密工具；不過同時亦應該提防陷阱。最近出現了一個名為 STOP Djvu 的虛假解密工具，宣稱可以免費解密勒索軟件，誘騙受害者安裝。不過這種虛假解密工具實際上非但不能回復數據，更利用另一種勒索軟件感染系統，令情況變得更差。

2.1.    Zorab 勒索軟件

Zorab 是一種冒充 STOP Djvu 解密工具的勒索軟件。當受害者在假冒的解密工具中輸入他們的資料（如圖1所示）並點擊「開始掃描」，程式將提取一個 Zorab 可執行的文件去加密數據，並在電腦文件的副檔名加上「.ZRB」。勒索軟件在每個被加密文件的文件夾中建立名為「--DECRYPT--ZORAB.txt」的勒索訊息文件。勒索訊息包含關於勒索軟件集團的付款聯絡方式。

圖1 虛假 STOP Djvu 解密工具

Emsisoft 已經發布了 Zorab 的解密工具。被 Zorab 攻擊的受害用戶可在以下鏈接下載解密工具：

https://www.emsisoft.com/ransomware-decryption-tools/zorab

3.   保安建議

從勒索軟件的新趨勢來看，預防勒索軟件最重要的方法是保護數據資產不被入侵。為降低感染風險，企業和一般用戶應採取預防性的安全措施。當企業感染勒索軟件後，洩漏敏感數據的風險極高，因此必須保持警惕，預防勒索軟件攻擊。

對於企業，我們建議：

1. 盡量減少擁有域名管理權限的用戶，限制攻擊的範圍和影響，並在日常操作中使用普通帳戶。
2. 部署終端設備保安保護平台，可以檢查電子郵件中是否包含惡意有效載荷，防止惡意加密程式以及發現終端漏洞以避免勒索軟件攻擊。
3. 建立數據隱私策略，加密敏感數據並設定相應的密碼策略，並保持加密密鑰隔離。
4. 實施數據安全計劃，應集中於僅收集所需的數據信息，確保其安全並銷毀任何不再需要的信息。
5. 定期進行網絡安全演習和培訓，以提高員工的安全意識，例如教育員工提防網絡釣魚電子郵件和偽冒解密工具。
6. 建立有關如何處理勒索軟件事件和數據洩漏事件的保安事故響應策略。

對於一般用戶，我們建議：

1. 注意可疑電郵，不要隨意打開電郵附件，特別是壓縮檔 ( zip 檔案) 、執行檔 ( exe 檔案) 或包含 VBS 腳本的文檔。
2. 安裝保安程式及更新相關的安全定義檔案。
3. 更新系統及軟件，例如 Microsoft Windows 、Office 、Adobe 閱讀器、Flash 播放器等，以修補保安漏洞，防止受惡意程式利用。

除了預防勒索軟件，企業和一般用戶亦應為數據進行備份。我們建議：

1. 對重要的檔案進行及時和定時備份。備份檔案應離線存放在安全位置，避免受惡意程式影響。
2. 若使用雲端備份，請確認雲端服務提供版本紀錄 (version history) 功能。即使受影響的檔案已同步至雲端，這功能也可以讓用戶回復舊的檔案版本。

同時，如果電腦裝置已經被勒索軟件感染，我們建議採取以下措施：

1. 首先將受感染的電腦離線，防止惡意程式對內聯網絡檔案造成影響。
2. 將已被加密的檔案複製到一個儲存裝置。
3. 在一部沒有受到感染的電腦上下載合法的解密工具來進行解密。請勿在不可信的來源下載可疑的解密軟件。
4. 如果在感染惡意程式之前已為系統或數據建立備份，用戶可進行回復系統及數據。
5. 參考本中心編制的《勒索軟件解密指引》進行解密。
6. 向 HKCERT 查詢或尋求協助。

*你可以在以下網頁識別勒索軟件和下載解密工具。香港電腦保安事故協調中心並不保證工具可以成功復原文件。*

https://www.nomoreransom.org/zht_Hant/index.html

4.   參考資料

1. https://cyware.com/blog/live-updates-maze-ransomware-attacks-5bce
2. https://research.checkpoint.com/2020/ransomware-evolved-double-extortion/
3. https://www.bankinfosecurity.com/10-ransomware-strains-being-used-in-advanced-attacks-a-14199
4. https://www.bankinfosecurity.com/7-ransomware-trends-gangs-join-forces-decryptors-improve-a-14401
5. https://www.bleepingcomputer.com/news/security/maze-ransomware-adds-ragnar-locker-to-its-extortion-cartel/
6. https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/
7. https://www.bankinfosecurity.com/unwanted-escalation-ransomware-attackers-leak-stolen-data-a-13438