專訪趨勢科技勒索軟體解密工具藏鏡人
解密工具Ransomware File Decrypto Tool,是趨勢科技一個全球性的專案。其中,研發中心位於臺灣的趨勢科技全球核心技術部技術顧問駱一奇,是解密Cryptxxx 1.0版、2.0版和3.0版勒索軟體加密檔案的藏鏡人之一。
駱一奇表示,趨勢科技搶先全球解密Cryptxxx 3.0版,但他也提醒,除非拿到勒索軟體Cryptxxx 3.0版作者自己製作的RSA解密私鑰,否則,趨勢的工具也只能回復原本檔案的99.2%,還須仰賴第三方檔案救援工具搶救其餘遺失的檔案。
解密工具必須針對不同勒索軟體量身打造
駱一奇表示,該公司觀察勒索軟體的危害狀況發現,這不像是APT(進階持續性威脅)攻擊,只是鎖定特定的少部分人,勒索軟體的危害是亂槍打鳥的狀態,每個人都可能是勒索軟體的受駭者,也形成一股人人自危的不安氣氛。
駱一奇分析,使用者為什麼會被勒索軟體鎖定、進一步將電腦中的檔案加密,其受駭途徑幾乎都是,使用者使用不安全的瀏覽器(沒有修補漏洞並更新到最新版,多數是微軟的IE瀏覽器)點擊惡意連結後,使用者電腦就被植入勒索軟體,而電腦中所有檔案就被勒索軟體加密,接著就會跳出警告視窗,要求使用者支付贖金以取得解密檔案所需要的金鑰。
駱一奇負責研發Cryptxxx勒索軟體的解密工具,先針對受駭人數最多的2.0版研發,再增加可解密的範圍,目前已可解密被Cryptxxx 1.0版和3.0版加密的檔案。但他也坦言,勒索軟體的作者也一直在精益求精,新版本勒索軟體所採用的演算法,都比前一個版本更複雜,也因此,他們要製作解密工具的難度也越來越高。