勒索病毒 stopencrypt@qq.com 事件紀錄

這一年來碰到幾次勒索病毒,以往只是有驚無險,這次碰到時,卻因為備份做得不夠完備而人仰馬翻。雖然不是什麼光采的事,但還是得紀錄一下這令人難忘的教訓....

這是最近才發生的事,所以有些事比較敏感,不好說,有的則是不好意思說。說得不好,容易引發不必要的誤會與困擾。這個部分,就直接參考說得好的文章吧,像這篇:業餘大叔程式心得筆記#10:幾個關於資訊安全的觀念。如文章裡說的,「資安是一種沒有人歡迎的『稅』」,受一次教訓,若能正視資安漏洞可能引發的災難,並開始有「事先預防」的覺悟,那就很有機會改善,避免一而再、再而三地中勒索病毒(這是我從客戶那裏聽來的)。

寫這篇筆記,主要目的還是警惕自己:日常備份很重要,勿恃敵之不來;以及,讓更多人知道這個勒索病毒與其背後的綁匪行徑;如果你或你的朋友碰到勒索病毒,並打算付贖金,請抱著「花錢但不一定能解決」的心態來跟綁匪交涉贖金。我會在文中說明細節。

言歸正傳。

這勒索病毒的名稱叫做 stopencrypt@qq.com。Google 搜尋一下,撰寫本文時,我沒有找到此勒索病毒任何災情報告。可能這病毒還太新吧,中文資料也很少,大部分是英文的文章,例如:Remove Stopencrypt@qq.com Ransomware。這些文章有個共通點:告訴你如何手動移除這個病毒,然後提供一個掃毒軟體的下載連結。

各種勒索病毒的特性大同小異,網路上都查得到,就不贅述了。以下是我整理的事件經過。

大綱:

中毒現象

Windows 桌面上會跳出如下視窗,告訴你檔案已經被加密上鎖:


視窗裡面有以下訊息:
  1. 你這台機器上面的所有檔案都被加密鎖住了,想要復原,請寫信至 stopencrypt@qq.com,信件的主旨欄要寫上這裡提供的一組 ID。
  2. 必須以比特幣付款。
  3. 可免費解鎖一個檔案,以證明他們真的能復原你的檔案。這個免費解鎖的檔案大小不可超過 1MB,且不可以是資料庫、備份檔、Excel 檔案等等。
  4. 告訴你如何購買比特幣。

若要寫信詢問價碼,信件的主旨欄只要寫上那組 ID 就行了,其他甚麼都不要寫。信件內文就簡短用英文詢問多少錢就行了。

重要發現中毒時,第一件事應該把中毒的電腦的網路線拔掉,而且不要接上任何外接硬碟,因為任何新接上的硬碟都會立刻遭殃。

重要中毒的電腦,盡量先別去動它(例如刪除檔案、改檔名之類的操作)。萬一你真(想不開)要付贖金,保留案發現場是明智之舉(雖然付贖金不是)。

與綁匪周旋

基本上,我是不建議付贖金的。但丟失的資料不是我的,這事我無權作主,只能提醒:付出的贖金可能會像肉包子打狗,賠了夫人又折兵。

客戶想知道贖金多少,於是我便開始充當談判的角色。首先,寫信問對方要付多少錢。「綁匪」的回信如下圖:



開口要價 6500$ 美金,大約二十萬台幣!並且列了一些注意事項:
  • 必須以比特幣支付。
  • 不要去修改以加密的檔案的檔名。
  • 不要自己去找其他解密工具來嘗試還原檔案,以免永遠無法復原。
  • 不要相信任何人。只有他們有還原檔案的密鑰。

最後,綁匪還特別溫馨提醒:不要透過 coinbase 轉帳比特幣,因為它的處理時間會超過兩個星期。

砍價與付款

由於先前已經有做備份,只是備份的日期在兩個月前,而主機本身的備份檔案也已經被病毒加密。在評估損失的資料之後,客戶覺得,如果有辦法殺價到一個可接受的金額,倒不妨一試。我提了一個數字:$700 美金。

去信講價之後,對方回覆:若一個星期內付款,$2000 可。

我方討論之後,決定回覆:若一天內付款,$1000 可嗎?

對方回覆 OK。有圖為證:


在提醒客戶這 $1000 美金仍有可能變成打水漂兒之後,客戶仍決定一試,並授權我去購買比特幣。

由於要在一天內付款,對於沒有買過比特幣的我來說,時間挺趕。幸虧(抑或不幸?)後來發現台灣的 BitoEx 有提供超商付款買比特幣。這是我能找到最快的付款方法了(其餘的管道,在驗證身分方面,都要等銀行上班時間配合)。於是,匆匆完成 BitoEx 的 B 級身分驗證:


接著立刻到樓下全家便利商店付款,然後登入 BitoEx 網站把超商付的款項兌換成比特幣:


圖中的金額是新台幣兩萬元,這是因為全家便利商店的付款金額每次上限為兩萬。我付了兩次款,湊足贖金。然後,便解鎖了人生中第一次付款買比特幣的「成就」 😔


付款之後,噩夢之始?

我將 BitoEx 網站上的交易結果頁面抓圖存檔,寄給綁匪。一個小時內,我就收到對方的回信,信中說明了檔案解密的步驟:


這樣看來,綁匪還真講信用?不見得,還有下文。

圖中的第五個步驟,是 "Scan application" 的下載連結,放在免費空間 sendspace 上面。那個連結點進去,會下載一個名為 decrypt.exe 的執行檔。警告:勿自行輸入網址去下載那個檔案,若因此而電腦中毒,後果自負。

那個 decrypt.exe 是個掃描程式,也有解密還原檔案的功能。我按照信中指示,用該程式把整台主機掃過一遍,產生一組看似雜湊碼的字串,寄回給綁匪。

接著,真相揭曉,對方回覆:

對方說還要 $1000 美金,才會提供最後的解密金鑰。我回信跟對方抱怨了一番,對方仍堅持整個解密程序需要收到 $2000 美金。也就是說,當初爽快答應砍價到 $1000,恐怕他們早有打算,反正只有他們自己才知道解密程序需要兩個階段,先引君入甕再說。

我建議不要再跟對方玩下去,敵暗我明,優勢盡在對方。若破釜沉舟,說不定還有一絲機會能挽救少數檔案,儘管機會渺茫。客戶認同我的想法,後續仍讓我去跟對方交涉。

既然已經決定不再陪綁匪玩下去,我的回信措辭也就不用太客氣了。結果,對方卻不放棄,要我相信他們,推說他老闆要求必須收到兩千美金,言下之意,他也是出於無奈,只要再付一千美金的比特幣,就一定會提供最後一個步驟所需的密鑰。

我回說不會再相信他的話,於是對方釋出更大的「善意」:


所以,可以單單還原一個資料夾底下的檔案嗎?我心裡懷疑,但也覺得可以試試,畢竟沒有任何損失。於是,我找了一台比較舊的電腦,把客戶比較需要還原的資料夾用先前對方提供的 decrypt.exe 掃一遍,產生一組 key,然後寄給綁匪。

綁匪在回信中提供了一組用來還原那個特定資料夾的 key:


我把這組 key 貼到解密程式 decrypt.exe 裡面,按下 Decrypt 按鈕,整個資料夾裡面的檔案果然都還原了。死馬當活馬醫,意外拿回一點原本屬於客戶的東西。

我嘗試用這個 key 去解密其他資料夾,沒有作用,可見綁匪早已設想周到。先前多次信件往返當中,對方曾提到他們從事這份工作已經四年,一向信守承諾。看來,經驗豐富是真的,信守承諾則未必。既然知道綁匪不會跟你講信用,大家都同意這件事到此打住,我也就沒再回信給對方了。(綁匪應該也忙著做其他人的「生意」,不會記得我吧)

等等,尚有一事稟報:關於綁匪提供的那個解密程式 decrypt.exe。

解密程式暗藏伏兵?

綁匪提供的解密程式,我在家中的筆電也有下載。(這要不是有恃無恐,就是托大、不知死活。後者居多 XD)

我筆電上 Windows 10,除了內建的 Windows Defender,還有 Malwarebytes 和 COMODO Cloud Antivirus,平時在背景運行即時防護的是 COMODO 那套防毒軟體。

COMODO Cloud Antivirus 並沒有對 decrypt.exe 發出警告。但我用 Windows Defender 和 Malwarebytes 去掃描硬碟,兩者皆回報那是一隻木馬。下圖為 Windows Defender 的掃描結果(為了抓圖,我特地再去下載那個檔案):

點一下圖中的「深入了解」連結,會開啟一個網頁,顯示那個木馬的詳細資訊,如下圖:


這樣看來,綁匪提供的解密還原工具,本身也可能暗藏惡意程式。受害者為了還原檔案,必須執行此程式,卻又可能為下一次的勒索埋下伏筆(純粹瞎猜,我沒有證據)。我聽客戶說,他們有認識的其他廠商,第一次中勒索病毒,付了贖金之後,還原了檔案,過了幾個月,又再次中標。

我懷疑,要不是 decrypt.exe 暗藏木馬,就是有人上一次當,仍不學乖。如本文開頭提到的,「資安是一種沒有人歡迎的『稅』」。也許是不知道怎麼做好防護,也許是認為不值得花那些成本去做好事先預防的工作。我不清楚。

馬後炮

有兩個地方讓我常感無力:
  1. 也許是因為 Windows 更新有時出問題,使用者看到了那些報導,就認為最好不要做 Windows 更新。在我看來,這是因噎廢食。更洩氣的是,連電腦公司的人也有這樣的觀念,在幫客戶裝機時總是把 Windows 更新關閉。每當碰到疑似中毒現象找我時,我得費好一番手腳,把數十個(有的是接近 100 個)Windows 更新項目補上來。
  2. 公司上下多數員工不知道自己的 e-mail 信箱密碼(由配合的電腦公司協助設定)。於是,三不五時發現信箱被駭客接管了、被郵件主機商鎖住了,再請他人協助解鎖,重設成統一的預設密碼。
    看到這裡,你可能會覺得怎麼有這種事....   ╮(╯◇╰)╭

所幸,經過這次事件,大家基本上同意,不再使用任何破解版的軟體,也同意預設開啟 Windows 自動更新。至於 e-mail 密碼....繼續努力 😌

亡羊補牢

我想,我這邊能做的,就是把備份盡量做完整吧。

這個部分的細節無法在此一一交代,只簡單說一下:我修改了客戶端路由器的管理者密碼(原本是出廠預設密碼)並升級韌體,也修改了所有主機的系統管理員密碼、Windows 遠端桌面 port 對應等等。接著設定了一些自動備份排程,把資料庫備份和重要的文件檔案每天自動備份至 NAS。實體與虛擬機器的系統備份,也是備份到 NAS 上面,並由 NAS 每天自動備份至外接的 USB 硬碟(兩顆輪流替換)。使用的 NAS 是 Synology DS918+,這裡也使用了它的快照功能來降低勒索病毒的危害。

用到的備份軟體有這些:
  • SQL Server 備份計畫
  • Windows Server Backup (只能說堪用)
  • Veeam Backup Free Edition 
  • NAS 本身附的 Snapshot Replication、Active Backup for Business、和 Hyper Backup (三者各有不同用途)

以上軟體都不用額外花錢。要說的是,我並非專業網管或 IT 管理員,只是碰到了,盡量去做而已。路過專家若有任何建議指教,歡迎底下留言。

結語

若有做好備份,即使遭到勒索病毒入侵,頂多系統重灌,應不至於產生太大的損失,也不用陷入與綁匪談判的困境。所以,最重要還是:備份!備份!備份!

應該天天要複誦多次,像 Steve Ballmer 先生這樣(台詞改為 "backup"):


相關文章

勒索病毒 stopencrypt@qq.com 事件紀錄 勒索病毒 stopencrypt@qq.com 事件紀錄 Reviewed by Michael Tsai on 11/05/2018 Rating: 5
技術提供:Blogger.