由於電子跡證具有易遭破壞或污染的特性,因此進行鑑識分析時,不能僅從單一面向驟下定論,以免犯了輕率武斷的毛病。鑑識人員應小心求證,從各種面向反覆驗證,方能還原犯罪事實。
當一切相關跡證都指向特定對象時,偵辦方向自然順理成章地導向該特定對象,甚至,只要是有關該特定對象的一切言行舉止,便會被擴大解釋或甚至扭曲成與案情相關。可曾想過是否僅是表象,而非實情呢?就請大家與筆者一同化身為鑑識人員,抽絲剝繭,深入案情。
前情提要,話說警方接獲某軟體公司報案,該公司的研發部門有一台電腦遭到勒索病毒感染,公司高層宣稱該電腦中有許多重要的技術文件和程式碼,希望警方能協助調查。
現場蒐證調查
警方迅速派出鑑識團隊抵達現場,對遭感染的電腦進行調查。遭感染的是研發部門經理William所使用的筆電,處於關機狀態。
一方面警方先分別對研發經理William、IT部門主管Alan等相關人員進行筆錄製作,以了解相關案情。另一方面,鑑識人員在完成現場蒐證後,便將該筆電進行封存,以帶回實驗室進行證物映像檔製作。
據研發部門經理William表示,案發當天他一如往常地上網看新聞、收發電子郵件、打開幾個技術文件查看。當他開完會回到位置上,才驚覺電腦桌布遭到置換,上頭有數行英文字(圖1),甚至還出現語音提示,警告已遭勒索病毒感染。
 |
| ▲圖1 電腦桌布遭到置換,出現勒索病毒警告訊息。 |
他一時情急,便趕緊關閉瀏覽器,然後重開機,等到重開機發現桌面依然是那個病毒畫面,他就將筆電強制關機並請IT人員處理。
而據IT部門主管Alan表示,公司雖有對上網、雲端服務存取、USB設備存取等等進行管制(圖2),但只對經理級以下人員進行,經理級以上是不受管制的。
 |
| ▲圖2 管制Policy。 |
這部分在大多數的單位往往皆是如此,當達到一定層級便不會在管制範圍之中或留下任何稽核紀綠,如此一來也增加了追查的難度。
至於各單位所使用的電腦是否有定期備份,IT部門有提供儲存空間及協助設定備份排程,但該研發經理的備份是由其個人進行,並未納入控管。
展開鑑識分析
鑑識團隊在分析過程中,從證物電腦的桌布以及名為#DECRYPT MY FILES#的說明文件內容,得知此勒索病毒名為「Cerber」,如圖3所示。
 |
| ▲圖3 勒索病毒提供的說明文件。 |
此惡意程式已將William筆電中的所有重要類型檔案如MS Office、PDF、圖檔等等檔案加密,全成了副檔名為「.cerber」的加密檔。
但有兩個PDF檔倖免於難並未遭到加密,研判應是William當時有開啟這兩個檔案所致,這一部分也在與William確認過後得到證實。
更嚴重的問題是,遭到加密的檔案名稱全成了一堆莫名無意義的英數混合所組成的字串(圖4),如此一來,便會令被害者搞不清楚究竟是哪些檔案受害,更加感到恐慌。
 |
| ▲圖4 主檔名遭到混淆無法辨識。 |