個案分析 - 校園勒索恐嚇信與勒索病毒 攻擊事件分析報告 臺灣學術網路危機處理中心團隊 (TACERT) 製 107 年 11 月
I. 事件簡介 1. 在 107 年 9-10 月學術網路中發生勒索恐嚇信事件與副檔名 Gamma 勒索病毒攻擊事件, 而本中心同仁在 10 月底也陸續收到這類型勒索恐嚇信 2. 某校園主機感染副檔名為 Gamma 的勒索病毒, 受害主機內的資料皆已被加密, 所幸該主機為工讀生用電腦, 平時所用資料皆已有備份, 影響不大, 又該系統裝設還原卡, 在感染病毒後重新開機, 已清除病毒 3. 因受害主機系統碟已系統還原, 透過 D 槽被加密的檔案與勒索通知信, 經查.Gamma 的勒索病毒來自 Dharma(CrySiS) 勒索病毒家族,Dharma 病毒為 2018 年前三大勒索病毒家族之一, 此類型的勒索病毒每隔幾個星期就會有新變種產生, 各變種之間的差異在於副檔名與聯絡用的 E-mail 信箱不同, 其他特徵皆相同 1
4. 為了解勒索恐嚇信在開啟後對主機是否有任何系統行為與網路行為產生, 又為了解 Dharma 勒索病毒在感染主機後之網路行為與系統行為, 本中心取得勒索恐嚇信樣本與 Dharma 勒索病毒樣本進行檢測 II. 事件檢測 1. 首先使用 1 台安裝 Windows 7 系統的 VM 虛擬主機進行隔離環境測試 本中心總共收到四份勒索恐嚇信, 將陸續對這四份勒索恐嚇信件進行檢測 2. 檢測 107 年 10 月 25 日下午 3:03 收到主旨為 account XXXX@cert.tanet.edu.tw is compromised 之恐嚇信, 發現在該信開啟後主機並無任何異樣, 而使用者所用帳號也無異常 駭客為讓受害者相信已取得受害者的帳號, 以受害者的帳號為寄件者寄信給受害者, 但檢視信件來源 IP 為來自法國 IP:81.66.24.250 在信件中駭客告訴受害者已掌握帳戶密碼 瀏覽器的歷史紀錄與通聯紀錄等資料, 並告訴受害者需於 48 小時內付美金 813 元, 否則將會寄受害者瀏覽色情網站的表情照片寄給受害者的親朋好友 2
3. 檢測 107 年 10 月 25 日上午 9:04 收到主旨為 account XXXX@cert.tanet.edu.tw is compromised 之恐嚇信, 發現在該信開啟後主機並無任何異樣, 而使用者所用帳號也無異常 檢視信件來源 IP 為來自智利的 IP:186.156.236.214, 而信件內容與前一封檢測之恐嚇信無異, 僅索求付款金額不同 3
4. 檢測 107 年 11 月 5 日下午 9:45 收到主旨為 Change your password immediately. Your account has been hacked 之恐嚇信, 發現在該信開啟後主機並無任何異 4
樣, 而使用者所用帳號也無異常 檢視信件來源 IP 為來自越南的 IP:116.107.191.207, 而信件內容提到在 2018 年 8 月 11 日駭客已經駭入受害者主機, 並且能完整存取 E-mail 帳號, 要求受害者在 50 小時內支付美金 884 元, 否則受害主機將會被鎖住, 而受害者的親朋好友將會收到受害者瀏覽色情網站的表情照片 5
5. 檢測 107 年 10 月 31 日上午 4:32 收到主旨為 あなたのパスワードが侵害されました (XXXXX@cert.tanet.edu.tw) 之恐嚇信, 發現在該信開啟後主機並無任何異樣, 而使用者所用帳號也無異常 檢視信件來源 IP 為來自哥倫比亞的 IP: 201.184.248.210, 而信件內容提到在數個月前駭客已經駭入受害者主機, 並且破解受害者 E-mail 帳號密碼, 要求受害者在 48 小時內支付美金 842 元, 否則受害主機將會被鎖住, 而受害者的親朋好友將會收到受害者瀏覽色情網站的表情照片 6
6. 接著檢測 Dharma 勒索病毒, 病毒樣本 virus.exe 經 Virutotal 檢測其惡意比例 為 58/67, 有多家防毒軟體公司使用 CrySiS 或 Dharma 等用字於該病毒命名 7
上 8
7. 當病毒樣本 virus.exe 執行後, 會在受害主機的桌面出現一個 All your files have been encrypted 的視窗, 視窗中告訴受害者所有的檔案已被加密, 可免費解密 5 個檔案, 若想將主機內的檔案解密, 需以主旨為受害者 ID (EE9E9A36) 寫信至 decrypthelp@cock.li 的 E-Mail 信箱 8. 檢視背景程式視運作情形, 發現 virus.exe 執行後, 除了再次呼叫自己外, 也會呼叫 cmd.exe 來執行 mode.com 與 vssadmin.exe 兩個系統執行檔 mode.com 所執行的命令 mode con cp select=1251 為設置代碼頁, 顯示西里爾語, 而 vssadmin.exe 所執行的命令 vssadmin delete shadows/all/quiet 為刪除主機內所有影子副本 在 virus.exe 再次呼叫自己後, 除了執行 cmd.exe mode.com 與 vssadmin.exe 外, 會執行兩次程式 mshta.exe, 此兩次程式會分別去呼叫兩個存放於不同處但檔名 相同的檔案 info.hta 9
9. 檢視兩個 info.hta 檔案所在位置, 發現他們所在的 Startup 資料夾中除了 Info.hta 外, 另有病毒 virus.exe, 這表示每次開機後皆會執行這兩個檔案, 而 且 Info.hta 執行後會開啟所有檔案已被加密的通知視窗 10
10. 透過 AutoRun 工具, 發現 Info.hta 與 virus.exe 所儲存位置不只有前面所提兩處, 在 C:\Windows\systme32 資料夾中也有, 而 virus.exe 在 C:\users\ 使用者名稱 \appdata\roaming 資料夾中也存在, 將病毒本身複製並存放於多處, 而且放於 C:\Windows\system32 系統資料夾內之手法於一般勒索病毒之思維不同 11
11. 在每個被加密的檔案資料夾中, 皆會有一個檔案 FILES ENCRYPTED.txt, 檢視其內容得知為駭客告訴受害者所有檔案已被鎖住, 如果想要解開檔案, 請寫信到電子信箱 decrypthelp@cock.li 12. 在 virus.exe 執行後, 發現原先在媒體櫃中的所有資料皆消失不見, 而且在 點選 開始 > 程式列表, 發現所有內容皆不見 13. 檢視被加密的檔案, 發現檔案名稱皆使用下面規則命名 : 檔案名稱.id-8 位 英文數字合成的受害者 ID.[ 聯絡駭客的 E-mail 信箱 ]. 此次變種副檔名 arena 例 : ABC.txt.id-EE9E9A36.[decrypthelp@cock.li].arena 12
III. 網路架構圖 1. 駭客利用社交工程方式散播 Dharma 病毒 2. 受害者執行 Dharma 病毒 3.Dharma 病毒呼叫 2 次 cmd.exe 來執行 mode.com 與 vssadmin.exe 4. 再次呼叫 Dharma 病毒執行 2 次 cmd.exe(mode.com 與 vssadmin.exe) 5. 執行 mshta.exe 6. 受害主機重新開機後, 執行 Dharma 病毒與 Info.hta IV. 建議與總結 1. 當勒索恐嚇信在校園散播時, 曾有學校反應有同一位受害者在隔一段時間後再次收到勒索恐嚇信, 當時那位受害者在第一次事件發生時已做過密碼變更處理, 再次收到這類信件時, 十分懷疑自己的密碼是否已被駭客知道 事實上, 這是駭客對受害者進行的心理戰, 為了讓受害者相信密碼已經被盜, 建議遇到此類狀況的受害者第一時間需請校內資安相關人員協 13
助, 切勿相信駭客所言 2. 針對勒索恐嚇信的資安事件有幾點防護建議, 提供使用者參考 (1) 定期更換密碼並加強密碼強度, 建議使用 8 個字元以上且英文 符號與數字混合的密碼 (2) 避免多個服務所用之帳號共用同一組密碼 (3) 不隨意開啟不明來源的信件 ( 含附件 ) 或網路連結, 以免遭植入惡意程式來竊取資訊 (4) 定期更新作業系統 應用程式與病毒碼至最新版本 (5) 定期備份重要檔案與執行系統掃毒作業 3. Dharma 勒索病毒每隔幾個星期就產生新的變種, 每個變種主要在變更駭客 E-mail 信箱與被加密檔案的副檔名, 目前對於 Dharma 勒索病毒之更版頻繁的變種尚未有解密器產生, 因此受害主機內檔案被加密後, 無法解密 4. 針對 Dharma 勒索病毒的防護與處理作業, 有幾點建議提供使用者參考 (1) 平時定期備份重要檔案與執行系統掃毒作業 (2) 定期更新系統與病毒碼至最新版本 (3) 不隨意開啟不明來源的信件與網頁連結 (4) 若主機感染 Dharma 病毒, 可將已被加密的重要檔案留存, 等待日後解密器的產生 14