何謂勒索病毒?
勒索病毒是一種惡意程式,專門將本機與網路儲存上的重要檔案加密之後要求支付贖金才能解開檔案。駭客開發這類惡意程式的目的是為了經由數位勒索來牟利。
勒索病毒本身也會加密,因此無法用暴力方式取得解密金鑰,想要救回資料的唯一方式,就只能從之前的備份來還原資料。
勒索病毒的運作方式讓這項威脅特別具破壞力,其他類型的惡意程式也會破壞或竊取資料,不過通常有其他回復的方式。但遇到勒索病毒,只要之前沒有做好備份,您就必須乖乖支付贖金來取回資料。有時候,就算企業支付了贖金,歹徒還是不會提供解密金鑰。
勒索病毒專門以重要資訊為目標
勒索病毒一旦執行,就會搜尋所有本機與網路上的儲存裝置,尋找可加密的檔案。它會攻擊它認為對您企業或個人重要的檔案,也包括可讓您復原資料的備份檔案。以下是幾種勒索病毒經常鎖定的檔案類型:
- Microsoft Office:.xlsx、.docx、.pptx 以及舊版的檔案
- 影像:.jpeg、.png、.jpeg、.gif
- 業務相關影像:.dwg
- 資料:.sql 與 .ai
- 影片:.avi、.m4a、.mp4
不同類型的勒索病毒通常會針對不同類型的檔案,但也有些檔案是共通的目標。大多數的勒索病毒都會攻擊 Microsoft Office 檔案,因為這些檔案通常含有重要的業務資訊。攻擊重要檔案可提高受害者支付贖金的機率。
網路釣魚郵件經常暗藏勒索病毒
勒索贖金交付
駭客會要求以虛擬加密貨幣支付贖金 (以 Bitcoin 為主),透過這樣的方式收取贖金可降低被逮的風險。此外,駭客也會將其伺服器架設在匿名的 TOR 網路上以避免被查緝。
當勒索病毒完成檔案加密之後,它會顯示一份訊息向受害企業勒索。駭客會在訊息中要求受害者支付一筆贖金來解開被加密的檔案,贖金從幾百美元至幾百萬美元不等。若企業沒有盡快支付,勒索病毒就會提高贖金。
有些勒索病毒攻擊會採取雙重勒索的技巧,駭客除了會要求一筆贖金來解開檔案之外,還會列出之前曾遭攻擊卻不肯支付贖金的企業機構來暗示可能的後果。雙重勒索的技巧會讓受害者更願意支付贖金以免品牌名形象受損。
勒索病毒不斷演進
不同的勒索病毒在資料加密與防止使用者取得解密金鑰的手法上各有差異。舊式勒索病毒大多使用「用戶端」或「伺服器端」非對稱式加密,但也有些採用簡單的對稱式加密。新式勒索病毒則會結合兩者來提高攻擊成效。
對稱式加密
今日的勒索病毒駭客很少單純只用對稱式加密,對稱式加密不論加密或解密都使用同一把金鑰,這把金鑰通常儲存在本機系統上。因此,只要資安專家及研究人員能找到這把金鑰,就能直接將資料解密而不需支付贖金。為了解決這項問題,駭客現在大多採用混合式加密。
用戶端非對稱式加密
非對稱式加密會使用一把所謂的「公開金鑰」來加密 ,然後再使用另一把所謂的「私密金鑰」來解密。一個常用的加密演算法就是 RSA 加密 (這也是 HTTPS 協定所用的加密方式)。在速度上,RSA 加密比對稱式加密慢許多,而且駭客必須等所有檔案都加密完成之後才能將私密金鑰發送給伺服器。
勒索病毒會在完成加密、將私密金鑰傳給駭客的伺服器之後,就將金鑰從本機刪除。此時駭客有一個風險就是電腦有可能在完成加密之前就已離線。這樣的情況下,駭客的伺服器就永遠不會收到私密金鑰,如此一來駭客也無法勒索贖金。
伺服器端非對稱式加密
伺服器端非對稱式加密會在電腦上線時才執行檔案加密,藉此解決用戶端非對稱式加密的問題。駭客的伺服器會產生一對「公開/私密」金鑰,然後用伺服器的公開金鑰來將檔案加密。
當受害者支付贖金時,駭客就會提供私密金鑰給受害者將檔案解密。這樣的作法對駭客的風險是,您可以在私密金鑰傳送過程中加以攔截,就能取得金鑰。一旦取得私密金鑰,就能分享給其他受害企業,讓勒索病毒失去威脅作用。
混合式加密
駭客發現,早期的勒索病毒會有上述的弱點,因此他們設計了一種混合式加密機制。在這個機制中,軟體會產生兩組成對的金鑰,再配合一連串的加密來解決先前的問題。這一連串的加密運作方式如下:
- 使用對稱式金鑰來加密檔案。
- 由軟體產生一對用戶端金鑰,使用用戶端公開金鑰來將前面的對稱式金鑰加密。
- 由軟體產生一對伺服器端金鑰,使用伺服器端公開金鑰來將用戶端私密金鑰加密,然後傳送給駭客。
- 當受害者支付贖金之後,駭客使用伺服器端私密金鑰來解開用戶端私密金鑰,然後將這個金鑰傳給受害企業,企業再用這把金鑰解開檔案加密的對稱式金鑰。
透過備份來防範勒索病毒
防範勒索病毒最好的方式就是備份,但如果將備份檔案存放在本機或網路磁碟並不安全。由於勒索病毒無法掃描到雲端儲存,因此雲端是一個不錯的復原解決方案。不過如果您將雲端儲存對映到某個本機磁碟或某個資料夾,那就另當別論。
避免勒索病毒危害的最好方式是防範於未然,不讓勒索病毒有機會啟動。絕大多數的勒索病毒攻擊都是因為使用者不小心下載了惡意程式,或執行了惡意腳本。
有兩種方式可以防止使用者下載到勒索病毒:其一是以 DNS 為基礎的內容過濾,其二是採用人工智慧隔離技術的電子郵件防護。以 DNS 為基礎的內容過濾可以防止使用者瀏覽到已被列入黑名單的網站。電子郵件過濾則是將惡意內容和附件傳送至隔離區供系統管理員審查。
最後,每一台裝置 (包括行動裝置) 都應安裝一套具備機器學習與行為監控技術的惡意程式防護軟體。良好的惡意程式防護軟體可在勒索病毒進入記憶體並開始加密檔案之前就預先偵測。為了發揮最大效用,惡意程式防護軟體必須隨時更新並修補,以維持在最新狀態並偵測最新威脅。
勒索病毒攻擊動輒影響數千人
一起勒索病毒攻擊可對全球數以千計的使用者造成影響,在某些案例,甚至在受害者覺得勒索病毒已經獲得控制之後,還是繼續造成問題。縱然惡意程式防護軟體可偵測到許多舊的病毒,但駭客隨時都在開發新型態的病毒來躲避偵測。
例如,在 2018 和 2019 年期間,Ryuk 勒索病毒就停用了 Windows 的系統回復功能,讓使用者無法從先前的還原點回復作業系統。由於 Ryuk 專門攻擊企業機構,因此它所要求的贖金都是數十萬美元起跳。
另外還有 CryptoLocker、WannaCry 及 Petya 也都是曾經在全球各地造成基礎架構癱瘓,影響許多銀行和政府機構的勒索病毒。尤其,WannaCry 專門攻擊 Windows 電腦並運用了一個美國國安局 (NSA) 所開發的漏洞攻擊手法來掃描開放的網路磁碟,然後將磁碟上的檔案加密。
有一些勒索病毒威脅至今仍屹立不搖,如:Gandcrab、SamSam、Zeppelin 及 REvil。雖然這些都是較新的變種,但它們都具備破壞企業系統的能力,因此仍是相當危險的惡意程式。
勒索病毒依然是個威脅
勒索病毒所攻擊的企業不分大小,如果您沒有做好資料備份,那麼它將癱瘓您的企業。了解勒索病毒的運作方式,以及它如何影響您的企業,可協助您做好防範措施。防範駭客攻擊最好的方式就是:加強使用者教育、在所有裝置上安裝惡意程式防護軟體,以及防止使用者開啟惡意電子郵件。