我一直到最近嚐過苦頭後才認清這個現實:有一次,當我為一則部落格文章在網路上搜尋可用的圖片時,由於截稿的壓力,讓我不得不打破了自己對於瀏覽不知名網站的所有不成文原則,我回答了一些有關安全性的問題,但在發現明顯的惡意攻擊時隨即結束一切。不過,事實上並沒有任何人入侵我的電腦。
如果不是接下來的情況急轉直下,我的生活應該都還像平常一樣吧!然而,第二天一早,我的筆記型電腦螢幕上已經充滿著防毒軟體公司發出的警告了。電腦中的幾個資料夾中來帶著一些新增的信件。這些信件是由一個名為 CryptoWall 的程式插入的,信中一開始以友善的語氣解釋了這家公司協助用戶瀏覽網站的情形。
「你的資料夾發生什麼問題了嗎?」駭客在信件中有技巧地問:「你所有的資料夾目前都已經受到 CryptoWall 以 RSA-2048 的強大加密保護。」它接著解釋說,如果我想開啟我的資料夾,就需要一個專用的加密密鑰。更進一步瞭解後,我終於明白這個專用的密鑰需要400美元。
「如果你不在指定的時間內盡快採取必要的措施,那麼取得密鑰的情況將會改變,」這封信中還提到,「如果你真的重視你的資料,那麼我們建議你不要浪費寶貴的時間去尋找其他解決辦法,因為沒有其他方式了。」
這個惡意軟體的作者提到沒有其他解決辦法,這倒是說到了重點。「這種密碼採用的是256位元加密,這是一種密碼很長且十分複雜的加密方式,」美國伊利諾州Park Ridge市一家經營電腦銷售與維修的Tech City公司總裁Chadi Adas表示:「你可能花好幾年的時間嘗試隨機產生各種字元組合,卻仍無法在這件事上取得任何突破。」雖然電腦專家可以輕鬆地從被駭的設備上移除CryptoWall病毒,但仍無法解決資料遺失或無法進行讀取的問題。
從這一點來看,大部份的人一定會問怎麼可能有人能如此橫行而不受約束?他們可能會認為這些惡意軟體作者的網站應該可以加以追蹤,就像用戶進行任何電子支付機制一樣是可追蹤的。
但駭客們在這方面真的越來越厲害了──有時還變得十分明目張膽。一個典型的例子:根據NBC新聞報導,CryptoWall最近攻擊了美國新罕布夏州Durham小鎮的警察局。儘管這個小鎮誓言不付贖金,但對於可能出現在全世界各地的這種不露臉的匿名網路犯罪,警方顯然也愛莫能助。
至於追查付款的想法,也算了吧!以我目前的情況來看,駭客透過 MoneyPak 的方式來勒索贖金,基本上這是一種無法追蹤卻又十分易於取得的預付卡機制。
有些CryptoWall受害者──通常是急需這些資料文件的小型企業所有人──為了找回資料不得已還是付了贖金。但Adas告訴我,Tech City公司就有4家客戶付錢了事,其中的三家客戶順利找回資料,但第四家客戶的資料卻發生技術問題,導致無法彌補的資料遺失。顯然,就算付了這筆贖金,也不保證就能完整取得原有的資料。
總之,在這場騙局中,受害者可能永遠也無法起訴這些駭客或把錢要回來。這些詐騙者通常透過一種匿名的 Tor 對等網路(P2P)瀏覽器。龐大的政府機構和企業IT部門都可能經由 Tor 網路追蹤資料流量,但小型企業或個人卻不太可能把時間和金錢投資在這上面。
「對於大多數人來說,300美元或400元雖然是一大筆錢,」Adas說:「但許多地方執法單位通常不會為它花太多時間進行追查。」
值得慶幸的是,我多年來持續為重要資料進行備份,因此一部份的資料並未真的遺失。最後,我也並不需要為這些被加密的資料支付解密贖金。此外,就算是付了這筆贖金,也可能發現找回的資料都已經損壞了,更何況是這些個資在曾經被駭客加密後已經不再具有隱私性了。
更重要的是,藉由這次的教訓與更多人分享,特別是提醒那些像我一樣疏於進行資料備份與預防的人。你就是那些讓駭客有機可乘的電腦用戶之一嗎?你也曾經遭遇過被惡意軟體勒索的類似經驗嗎?
編譯:Susan Hong
(參考原文:Hands Up! Your Money or Your Data,by Charles Murray)