https://arolstar52-zhtest.hf.space/index.php?action=history&feed=atom&title=CryptoLocker
CryptoLocker - 版本历史
2026-06-28T02:51:23Z
在这个wiki上该页的修订历史
MediaWiki 1.43.8
https://arolstar52-zhtest.hf.space/index.php?title=CryptoLocker&diff=2249913&oldid=prev
imported>CommonsDelinker:移除CryptoLocker.jpg,已被Túrelio刪除:Copyright violation: screenshot。
2023-08-06T08:20:18Z
<p>移除<a href="/index.php?title=C:File:CryptoLocker.jpg&action=edit&redlink=1" class="new" title="C:File:CryptoLocker.jpg(页面不存在)">CryptoLocker.jpg</a>,已被<a href="/index.php?title=C:Special:Contributions/T%C3%BArelio&action=edit&redlink=1" class="new" title="C:Special:Contributions/Túrelio(页面不存在)">Túrelio</a>刪除:<a href="/index.php?title=C:COM:L&action=edit&redlink=1" class="new" title="C:COM:L(页面不存在)">Copyright violation</a>: screenshot。</p>
<p><b>新页面</b></p><div>{{NoteTA<br />
|G1 = IT<br />
}}<br />
{{Infobox computer virus<br />
|Fullname= CryptoLocker<br />
|Image= <br />
|Technical name= <br />
|Aliases= Crypt0L0cker<br />
|Family= <br />
|Classification= [[惡意軟體]]<br />
|Type= [[特洛伊木馬 (電腦)|特洛伊木馬]]<br />
|Subtype= <br />
|IsolationDate= 2014年6月2日<br />
|Point of Isolation= <br />
|Origin= <br />
|Author= <br />
}}<br />
<br />
'''CryptoLocker'''是一種於2013年下半年出現的[[特洛伊木马 (电脑)|特洛伊木馬]],以[[勒索軟體]]的形式出現的[[惡意軟體]],以[[Microsoft Windows]]作業系統為主要攻擊目標,所衍生的變種也向[[Linux]]等作業系統及特定廠牌的[[網路儲存設備]](NAS)攻擊。CryptoLocker會偽裝成一個合法的電子郵件附件或[[.exe]]格式檔案;如果被活化,該惡意軟體就會使用[[RSA加密演算法|RSA]][[公钥加密|公鑰加密]]與[[高级加密标准|AES]][[公开密钥加密|秘鑰]]的形式,加密本地與內部網路的特定類型檔案;而私人金鑰則把持在惡意軟體所控制的伺服器上。該蠕蟲會顯示一則訊息,表示如果在規定的期限進行付款(經由[[比特币|比特幣]]或其他儲值管道),就能夠解密這些檔案,否則私人金鑰將會被銷毀,再也不能打開這些檔案。如果在期限之內,該惡意軟體還會提供一個由惡意軟體控制的線上服務提供解密,但要付出高額的比特幣。<br />
<br />
即使CryptoLocker本身很容易清除,但是這些已經被加密的檔案,對於研究者而言是無法被解開的。部分研究者認為如果不付款給勒索者,就沒有其他方法能夠解密這些檔案;另外的研究者則說付款給勒索者是唯一能在未備份的情形下,讓檔案解密的方法。<br />
<br />
==運作==<br />
CryptoLocker通常會以[[電子郵件附件]]的型態,包裝成一個看似無害的電子郵件(通常使用合法公司的電子郵件外觀)進行傳送,或是經由[[殭屍網路]]發送。所附上的ZIP檔案格式包含了一個可執行的檔案,通常是使用偽裝的PDF文件附檔名與檔案名稱,利用Windows系統當中的文件擴展名規則,掩飾真正的[[EXE]]副檔名形式檔案。部份情況下則會實際含有[[宙斯 (特洛伊木馬)|宙斯]]特洛伊木馬病毒,以進行安裝CryptoLocker<ref name=details/><ref name=cw-cryptolocker>{{cite web|title=Cryptolocker: How to avoid getting infected and what to do if you are|url=http://www.computerworld.com/s/article/9243537/Cryptolocker_How_to_avoid_getting_infected_and_what_to_do_if_you_are_|work=Computerworld|accessdate=25 October 2013|archive-date=2013-10-30|archive-url=https://web.archive.org/web/20131030010415/http://www.computerworld.com/s/article/9243537/Cryptolocker_How_to_avoid_getting_infected_and_what_to_do_if_you_are_|dead-url=no}}</ref>。首次啟動時,[[有效負載]]會以隨機的名稱,自行安裝於[[我的文件]],並於登錄檔登錄一個編碼,會導致於開機時啟動。然後,該惡意軟體會嘗試連接被勒索者所控制的伺服器與指令,一旦成功連接,該伺服器就會產生一個2048位元的[[RSA加密演算法|RSA]]加密金鑰配對,並且送出[[公鑰加密|公開金鑰]]到被感染的電腦<ref name=details>{{cite web|last=Abrams|first=Lawrence|title=CryptoLocker Ransomware Information Guide and FAQ|url=http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information|work=[[Bleeping Computer]]|accessdate=25 October 2013|archive-date=2013-11-17|archive-url=https://web.archive.org/web/20131117080533/http://www.bleepingcomputer.com/virus-removal/CryptoLocker-ransomware-information|dead-url=no}}</ref><ref name=ars-cryptolocker/>。該伺服器可能是一個本地代理伺服器或其他的代理伺服器,會頻繁地在不同國家間進行重定位,增加追蹤的困難度<ref name=sophos-cryptolocker>{{cite web|title=Destructive malware "CryptoLocker" on the loose - here's what to do|url=http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/|work=Naked Security|publisher=Sophos|accessdate=23 October 2013|archive-date=2017-05-08|archive-url=https://web.archive.org/web/20170508022456/https://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/|dead-url=no}}</ref><ref name=guardian-cryptolocker/>。<br />
<br />
該有效負載會將整個硬碟與相連結的網路硬碟中的檔案,利用公開金鑰進行加密,並將檔案加密的紀錄送入一個登錄碼。這個過程中,僅會將特定附檔名的資料檔案進行加密,例如[[Microsoft Office]]、[[OpenDocument]]與其他的文件、圖像與[[AutoCAD]]檔案<ref name=cw-cryptolocker/>。有效負載接者會顯示一則訊息,告知用戶檔案已經被加密,並必須經由預儲值管道(如MoneyPak或Ukash)支付300美元或歐元,或是2[[比特幣]],才能解開這些檔案。付款動作必須在72至100小時內完成,否則私人金鑰將會在伺服器端摧毀,並且「將永遠沒有人能打開這些檔案<ref name=details/><ref name=ars-cryptolocker/>。」勒索付款後,會允許用戶下載一個解密程式,然後預載用戶的私人金鑰<ref name=details/>。<br />
<br />
2013年11月,CryptoLocker的操作者開放了一個線上服務,允許用戶不用CryptoLocker程式就能解密檔案,並且必須於截止時間前下載解密金鑰;這個過程包含了將解密檔案樣本上傳到惡意軟體的網站,然後在24小時內,網站會依據請求,尋找匹配的金鑰。一旦匹配成功,用戶就能夠進行線上付款;如果72小時的期限已過,付款價格將會增長到10比特幣(在2013年11月上旬,換算匯率為超過3500美元)<ref name=nw-cryptolockersecondchance>{{cite web|title=CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service|url=http://www.networkworld.com/community/node/84174|work=NetworkWorld|accessdate=5 November 2013|archive-date=2013-11-05|archive-url=https://web.archive.org/web/20131105175934/http://www.networkworld.com/community/node/84174|dead-url=no}}</ref><ref name=nw-cryptolockersecondchance/><ref name=pcw-moremoney>{{cite web|title=CryptoLocker creators try to extort even more money from victims with new service|url=http://www.pcworld.com/article/2060640/cryptolocker-creators-try-to-extort-even-more-money-from-victims-with-new-service.html|work=PC World|accessdate=5 November 2013|archive-date=2017-04-30|archive-url=https://web.archive.org/web/20170430230656/http://pcworld.com/article/2060640/cryptolocker-creators-try-to-extort-even-more-money-from-victims-with-new-service.html|dead-url=no}}</ref>。<br />
<br />
==防災與解災==<br />
安全軟體可能無法偵測到CryptoLocker,或只能在解密進行或完成後才會被偵測到。如果該攻擊能在早期被起疑或偵測到,該惡意軟體有時只會加密一小部分的檔案;立即清除該惡意軟體(這本身就是一個相對簡單的程序)理論上可以降低資料的傷害數量<ref name=register/><ref name=malwarebytes>{{cite web|last=Cannell|first=Joshua|title=Cryptolocker Ransomware: What You Need To Know|url=http://blog.malwarebytes.org/intelligence/2013/10/CryptoLocker-ransomware-what-you-need-to-know/|work=Malwarebytes Unpacked|accessdate=19 October 2013|archive-date=2016-03-14|archive-url=https://web.archive.org/web/20160314184323/https://blog.malwarebytes.org/intelligence/2013/10/CryptoLocker-ransomware-what-you-need-to-know/|dead-url=no}}</ref>。專家建議的預防方式,包含使用軟體或其他安全策略,阻擋CryptoLocker的有效負荷完全被佔據<ref name=details/><ref name=cw-cryptolocker/><ref name=ars-cryptolocker>{{cite web|title=You’re infected—if you want to see your data again, pay us $300 in Bitcoins|url=http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/|work=Ars Technica|accessdate=23 October 2013|archive-date=2016-11-10|archive-url=https://web.archive.org/web/20161110004940/http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/|dead-url=no}}</ref><ref name=guardian-cryptolocker>{{cite web|title=CryptoLocker attacks that hold your computer to ransom|url=http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-ransomeware|work=The Guardian|accessdate=23 October 2013|archive-date=2013-11-18|archive-url=https://web.archive.org/web/20131118225033/http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-ransomeware|dead-url=no}}</ref><ref name=register>{{cite web|last=Leyden|first=Josh|title=Fiendish CryptoLocker ransomware: Whatever you do, don't PAY|url=http://www.theregister.co.uk/2013/10/18/cryptolocker_ransmware|work=The Register|accessdate=18 October 2013|archive-date=2016-11-10|archive-url=https://web.archive.org/web/20161110081144/http://www.theregister.co.uk/2013/10/18/cryptolocker_ransmware/|dead-url=no}}</ref>。平常勤於備份重要檔案,並離線、異地儲存,使得檔案遭勒索軟體加密後,尚有機會可從備份還原。<br />
<br />
由於該檔案的操作性質,一些專家坦承支付給勒索者是在缺乏備份還原(尤其是不經由網路連接下的離線備份,或是從[[連續資料保護]]系統的備份進行還原)下的唯一方式。由於金鑰的長度是由CryptoLocker所操縱,可以預見地,這些被加密的檔案無法[[暴力破解法|暴力破解]],在不付款的情況下解密檔案;相似的例子為2008年的[[蠕蟲病毒]]Gpcode.AK,使用的是1024位元的加密,相信這個加密程度太大,導致無法以分散式計算,或是發現漏洞的方式打破加密的內容<ref name=details/><ref name=pcw-moremoney/><ref name="zdnet-2">{{cite web|title = Blackmail ransomware returns with 1024-bit encryption key|url = http://blogs.zdnet.com/security/?p=1251|first = Ryan|last = Naraine|date = 6 June 2008|accessdate = 25 October 2013|work = [[ZDnet]]|archive-date = 2008-08-03|archive-url = https://web.archive.org/web/20080803000014/http://blogs.zdnet.com/security/?p=1251|dead-url = yes}}</ref><ref name="securityfocus">{{Cite web|title = Ransomware resisting crypto cracking efforts|url = http://www.securityfocus.com/news/11523|work = [[SecurityFocus]]|first = Robert|last = Lemos|date = 13 June 2008|accessdate = 25 October 2013|archive-date = 2016-03-03|archive-url = https://web.archive.org/web/20160303194706/http://www.securityfocus.com/news/11523|dead-url = yes}}</ref>。[[賽門鐵克]]估計至少3%被感染的用戶會採用付款方式解決<ref name=guardian-cryptolocker/>。<br />
<br />
2013年10月下旬,卡巴斯基報告其DNS陷阱已經建立完成,可以在部分域名用戶接觸到CryptoLocker時進行阻擋<ref name=securelist-cl>{{cite web|title=Cryptolocker Wants Your Money!|url=http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money|work=SecureList|publisher=Kapersky|accessdate=30 October 2013|deadurl=yes|archiveurl=https://web.archive.org/web/20131029235223/http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money|archivedate=2013年10月29日|df=}}</ref>。<br />
<br />
==變種==<br />
*[[Crypt0L0cker]] 類似CryptoLocker的勒索軟體<br />
<br />
==參考文獻==<br />
{{reflist}}<br />
<br />
==外部連結==<br />
*{{cite web |url=http://tools.cisco.com/security/center/viewThreatOutbreakAlert.x?alertId=31226 |title=Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013 |date=2013-10-14 |website=Cisco Security Intelligence Operations Portal |publisher=[[Cisco Systems]] |location=San Jose, CA, USA |accessdate=2013-10-30 |archive-date=2013-11-02 |archive-url=https://web.archive.org/web/20131102164858/http://tools.cisco.com/security/center/viewThreatOutbreakAlert.x?alertId=31226 |dead-url=no }}<br />
<br />
{{Hacking}}<br />
<br />
[[Category:勒索軟體]]<br />
[[Category:网络攻击]]</div>
imported>CommonsDelinker