【獨家專訪】加密貨幣助攻 勒索軟件乘機肆虐

眾多黑客攻擊中，勒索軟件（ransomware）絕對是任何人都聞風色變的一種，因為其破壞力快且狠，一中招即時會將電腦內的檔案加密上鎖；受害者即使肯交贖金，也未必能從黑客手上換回解鎖法。勒索軟件能夠如此肆虐，有專家指全因加密貨幣（cryptocurrency）的興起，讓黑客找到安全的經營模式，減少被逮捕的風險。

加密貨幣 收贖金難追蹤

根據資訊安全研究機構 CyberSecurity Venture 估計，2019 年期間，每 14 秒就會有一個機構成為勒索軟件的受害者。看似誇張，但踏入 2019 年後其實已多次發生勒索軟件事件，例如美國加州橙郡的政務機關、挪威全球最大鋁業公司之一海德魯公司（Norsk Hydro）先後中招。「近兩三年來勒索軟件個案的確大增，相信是黑客看中交易難以被追查的加密貨幣，可保障他們順利收到贖金，再加上要求的技術很低，甚至可在暗網以百多元購得勒索程式，成本低效率高，所以才會有這麼多勒索軟件攻擊出現。」本地著名研究團隊VXRL的成員 Boris So說，以往黑客都愛用 Bitcoin 收贖金，但由於現在已有可能追查出收款人錢包地址，所以黑客便轉而用 Monero（門羅幣）或 ZCash。Boris 說通常不會建議受害者交贖金，因為部分黑客根本沒有打算提供解鎖方法，例如 Thanatos 這隻勒索軟件，基本上在執行加密後就會自動刪除解鎖密匙，所以就算交付贖金，只會再一次受害。

勒索軟件加密漏洞

為了協助受害者破解被鎖的檔案，歐洲刑警組織等機構創立的「拒絕勒索軟體」（No More Ransom)計劃，不時會上載各種勒索軟件的解鎖方法，不過時間頗為滯後，往往要半年後才會推出，更多情況是完全無法破解。「其實這情況很正常，因為大部分勒索軟件用作加密的手法，都是一些安全度高的加密演算法，例如 AES、RSA等，如果這麼容易被破解，那麼我會建議大家不要再用任何 eBanking 服務了。」

既然如此難破解，為何 No More Ransom 計劃仍可提供解鎖方法？ Boris 說通常有三個原因，首先是發放勒索軟件的黑客管理密匙不善或被緝拿，其次是軟件本身寫得差有漏洞，最後就是軟件執行時出現了黑客預期以外的反應。 他以 Thanatos 為例，這款勒索軟件以 AES-256 演算法將檔案加密，加密兼解鎖密匙則會按電腦系統開機的時間及檔案加密的時間而產生。該加密算法其實十分安全，不過呢種產生密匙嘅方法就十分差，而且該勒索軟件使用嘅Windows API 所取得嘅系統uptime只有32-bit，數值範圍有限(大約為49.7日)，導致容易被破解。Thanatos 最終被 Cisco 成功破解，全因編寫程式時有漏洞，「因為 Windows 會自動將系統uptime寫入event log，再加上該勒索軟體無修改加密檔案的時間，令到破解密匙的時間大為縮短。」

另一款著名的勒索軟件 WannaCry，採用理論上無法破解的 RSA 非對稱加密演算法，被成功破解的原因並非寫得差，而是電腦系統出現黑客預期以外的反應。「 原本 WannaCry 勒索軟件使用的Windows CAPI 會將加密時所產生出來的質數清除，在 Windows 10 上完全找不到破解的方法；誰不知這些資料卻存在於舊版本 Windows 系統的記憶體內，並沒有被清除，這些反應都在黑客的預期以外，所以才能破解出密匙。」Boris 說所以絕不能依賴第三方提供的解鎖方法，最重要還是平常做好備份工作，同時安裝網絡保安軟件並隨時維持在最新版本，即使不幸中招，也可減少損失，或從備份檔案中回復資料。