勒索軟件破壞力強大,其中一個防禦方法自然是安裝防毒軟件。不過,專家測試了市面上 29 款具備勒索軟件保護能力的防毒軟件,卻發現至少有一種方法可入侵「被保護」的檔案夾……塵世間,到底有無 最佳防毒軟件 ?
目錄
勒索軟件受黑客歡迎
勒索軟件(ransomware)的新聞相當多,例如剛發生的 AXA 及 Colonial Pipeline事件,便造成難以估計的損失。根據 CrowdStrike 發表的2020網絡安全調查報告,勒索軟件約佔全年網絡攻擊事件總和的 81% ,成為最受網絡罪犯喜愛的攻擊手法。以往勒索軟件只會加密受害者電腦設備及儲存數據,令業務被迫中斷,其後已不再單單進行加密,而是會先將受害企業的敏感數據偷走,例如財務報告、客戶私隱等,再以公開資料增加勒索成功率,所以現時勒索軟件已等同數據外洩事故,只是入侵手法不同,最新的方法可參考 Palo Alto Networks 的 《2021年勒索軟件威脅報告》。
受保護檔案夾阻勒索軟件加密
基於勒索軟件會加密電腦內的檔案,因此防毒軟件其中一個應變方法,就是可讓用戶在電腦系統內建立受保護的檔案夾(Protected Folders),然後將重要的檔案存放入內,只讓少部分可信的應用程式及認證用戶接觸。方法聽似正確,但原來「百密二疏」,由 the University of Luxembourg 及 the University of London 兩間大學組成的研究團隊,便針對這種方法進行研究,看看當中可會存在漏洞,結果便發現 Cut and Mouse 及 Ghost Control 兩種入侵方法。
漏洞一:Cut and Mouse
專家留意到 Protected Folders 只會讓少部分獲批准的應用程式(whitelisted applications)讀取內裏儲存的檔案,這種做法本身很合理,以財敄文件為例,如拒絕所有應用程式讀取檔案,檔案內容便完全無法在本機內修改,因此必須批准部分應用程式使用。而專家就向這些應用程式著手,他先入侵電腦並非法執行被 Protected Folders認可的應用程式如 Notepad ,然後以 Notepad 打開檔案夾內的機密文件,惡意軟件則可從記憶體內盜走這些數據,然後將不相關的內容通過 Notepad 覆蓋在原文件之上。專家更發現如以 Paint 程式進行上述攻擊,在最後貼上圖片後更可永久刪除原文件內的資料。
漏洞二:Ghost Control Attack
這種攻擊手法的原理更簡單,當黑客避過防毒程式的攔截後,即使惡意軟件無法直接讀取 Protected Folders 內的檔案,但它可以模擬人類的動作,進入防毒程式介面並關閉部分防護功能,除了可以遙距下載更多惡意軟件,亦可修改防毒軟件內的安全設定,從而盜取機密資料及執行加密系統及檔案的指令。
最佳防毒軟件設計考慮
研究得出這兩種攻擊可能性後,研究團隊便測試了市面上 29 款防毒軟件,結果發現當中 14 款可成功執行 Ghost Control Attack ,而 Cut and Mouse 更是全部淪陷。雖然結果驚人,但團隊就未有公開所測試的防毒軟件名字,只是建議防毒軟件公司在設計防禦方法時必須考慮得更全面,特別是現時黑客的入侵手法相當多,例如會將惡意程式混淆化(obfuscation)避過防毒軟件的偵測,又或利用電腦作業系統內的資源執行無檔案(fileless)攻擊。
破解勒索軟件方法
如果不幸成為勒索軟件的受害者,可嘗試以下方法尋求解決辦法,同時不應胡亂在網上搜尋破解工具,因為隨時有可能是其他惡意軟件,令自己受二次傷害。 No More Ransom 是一個由荷蘭國家警察高科技犯罪單位(National High Tech Crime Unit of the Netherlands’ police)、歐洲刑警組織歐洲網路犯罪中心(Europol’s European Cybercrime Centre)等機構共同創立。計劃已先後推出過百款勒索軟件的破解工具,令數以萬計苦主免交贖款。只要到官方網上平,上載其中一個被加密的檔案,系統就會自動分析屬於哪款勒索軟件,如平台上已存有破解方法,便會直接提供給求助人。現時平台上已載有不少有名的勒索軟件如 Bitcryptor、GandCrab、MegaLocker、Mira、WannaCry 等的破解方法,雖然較勒索軟件出現的時間滯後數月,但只要受害人有耐性,便可復原被加密的檔案。
雖然未必有最佳的防毒軟件 ,但安裝後始終有一定保障。而 Microsoft 亦有為 Windows 10 用戶 免費提供勒索軟件防護服務,只要手動開啟 Ransomware Protection 功能即可,方法請點擊這裡。
