关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保关于当今塑造我们世界的发现和想法的具有影响力的故事的未来。
如果有人劫持了您的计算机文件并要求您支付赎金才能安全归还,您会付多少钱? 100 美元? 1,000 美元?一种名为 CryptoLocker 的恶意软件目前正在通过有毒的电子邮件附件感染计算机,这些附件会锁定机器的数据,除非所有者同意在 72 小时内支付 300 美元。
网络安全公司在 9 月初首次注意到 CryptoLocker。攻击在过去几周有所增加,昨天他们报告说,该恶意软件的新版本为人们提供了更多时间来恢复他们的文件——但价格比最初的要价高出约 1,600 美元。 专家估计,CryptoLocker 每天感染大约 1,000 台个人电脑,主要在北美、英国和印度。直到最近,这种恶意软件(也称为“勒索软件”)对大多数防病毒软件来说还是无法检测到的。而且,除了支付赎金外,目前还没有办法逆转损害。“这有点像丢失了你的电脑、砸碎了你的硬盘或把你的电脑扔进了港口。一旦你的文件被加密,你就永远无法找回你的数据,”安全公司 Sophos 的亚太区技术主管 Paul Ducklin 说。
该恶意软件会对文档、PowerPoint 文件、图像、视频、电子表格、Photoshop 文件、mp3 和其他文件进行加密——基本上是任何普通人认为重要或具有情感价值的东西——并指示用户通过比特币或 MoneyPak 付款,如果他们还想再次看到这些数据。与 CryptoLocker 关联的比特币账户已经累计达数百万美元,据推测,还有无数金额是通过其他渠道收集的。“从技术上讲,CryptoLocker 所做的事情一点也不新鲜,”Emsisoft 的安全开发人员 Fabian Wosar 说。“事实上,这种特殊的勒索软件,通常被称为加密恶意软件,已经存在了几十年。它在过去几年变得更加普遍。”
然而,CryptoLocker 在计算机感染的数量和加密强度方面都比以前版本的勒索软件更成功。“看来这些人选择受害者的方式很不幸地导致了比我们以前看到的更大的成功,”Ducklin 说。“加密盔甲上是否有裂缝?到目前为止,据我所知,还没有人发现任何裂缝。”他说,破解加密的唯一方法是进行“暴力”攻击,生成随机密钥,直到您找到正确的密钥。但由于加密级别非常高,因此这需要比文件被销毁之前人们拥有的时间和计算能力多得多。
CryptoLocker 通常通过“网络钓鱼诈骗”来访问计算机,这些诈骗会诱骗人们打开看起来像 pdf 文件的电子邮件附件,但实际上是“伪装成薄薄外衣的 Windows 程序,”Ducklin 说。它还会购买僵尸网络(那些发送垃圾邮件的程序)上的时间,并使用它来分发该软件。一旦打开,恶意软件就会自行安装到硬盘驱动器上,并尝试访问命令和控制服务器,该服务器会生成两个密钥——一个用于加密文件的公共密钥和一个用于解密文件的私钥,恶意软件会保留私钥,直到用户支付赎金。当加密过程完成时,会弹出一个倒计时时钟,其中包含有关如何付款的说明。
负责 CryptoLocker 的程序员已将命令和控制服务器隐藏在许多代理服务器之后,这些代理服务器会混淆和重新路由流量,从而难以跟踪,以及几层额外的加密,从而使恶意软件几乎无法追踪。
可以通过中断网络连接或更改 Windows 操作系统规则,阻止 CryptoLocker 访问命令和控制服务器,从而防止其开始加密过程。来自电信公司、McAfee 等网络安全公司、大学和其他机构的 100 多名研究人员组成了一个 CryptoLocker 工作组,以共享有关恶意软件的信息,并开发可以检测到它并阻止其运行的安全补丁。但是,一旦您的文件被加密,仍然没有办法将它们恢复。而 CryptoLocker 背后的任何人都仍在开发可以逃避检测并避免最近安全修复的新版本恶意软件。
安全研究人员表示,备份文件是保护自己免受 CryptoLocker 侵害的最佳方法,但即使这种方法也不是万无一失的。“一旦它感染了一台机器,它就可以加密你网络上的文件、闪存驱动器上的文件,甚至可以加密云存储上的文件,例如 Google Drive 或 Dropbox,”计算机咨询公司 Foolish IT 的首席执行官 Nick Shaw 说,他创建了一个免费工具,可以保护家庭用户免受恶意软件的侵害。
McAfee 的安全威胁研究员 Craig Schmugar 说,诀窍是将备份文件远程存储,以便在感染时它们与设备没有任何连接。保护自己的另一种方法是养成安全的浏览习惯,例如避免可疑链接,并且不打开来自你不认识的人的电子邮件附件。 CryptoLocker 电子邮件通常看起来像是来自公司或组织(例如商业改进局、FedEx 或 UPS)的客户支持消息。
根据收到电子邮件的人员,Emsisoft 的 Wosar 认为,该恶意软件可能针对的是小型企业,这些企业的生计依赖于他们的文件,但他们可能没有自己的信息技术部门,并且对传入的电子邮件以及附件过滤器限制较少。 CryptoLocker 使这些公司陷入困境,而且许多公司似乎都在违反安全公司的建议支付赎金。“你不想向这些人付款的一个原因是,这只会鼓励他们继续支持它,并使其变得更加恶劣,”Malwarebytes 的恶意软件情报分析师 Joshua Cannell 说。“因为如果它正在赚钱,那么很明显他们会继续研究它,并投入更多的时间和精力。”
安全专家承认,不付款对每个人来说都不可行。“对于绑架也提出了完全相同的论点——永远不要给赎金,这只会鼓励他们,”哈佛法学院伯克曼互联网与社会中心的密码学家和研究员 Bruce Schneier 说。“这个论点很有道理,直到你的孩子被绑架。当涉及到你的数据时,如果它值得,你就会付款。”
考虑到已经与 CryptoLocker 关联并被删除的服务器的位置,Wosar 认为肇事者可能来自俄罗斯。“它之所以有效,不是因为计算机软件,而是因为存在一个这些人可以运作的国家和一个他们可以使用的金融转移机制。我向你保证,这些人不住在美国,因为联邦调查局会很快盯上他们,”Schneier 说。
Schneier 称 CryptoLocker 感染“特别令人讨厌”,因为它们会攻击你的个人文件,但他表示,与其他网络上可怕的病毒和恶意软件相比,该恶意软件的威胁较低。虽然正确的预防方法可以很容易地避免 CryptoLocker,但这种威胁可能不会很快消失。
在那之前,请记住备份。