勒索病毒會破壞重要的資料
對企業機構來說,勒索病毒可說是一場災難,因為它會破壞重要的資料。攻擊時,勒索病毒會掃描系統來尋找重要檔案,然後使用不可逆的強大加密演算法將檔案加密,因此能比其他惡意程式更快速癱瘓企業機構的營運。
絕大多數的勒索病毒攻擊,一開始都是先發送一封惡意電子郵件。這封電子郵件通常含有一個連結指向駭客架設的網站,讓使用者一連上就會下載惡意程式。此外,郵件也可能隨附一個惡意檔案,使用者一旦開啟這個檔案就會下載勒索病毒。
駭客經常使用 Microsoft Office 文件為附件,因為 Office 提供了一個 Visual Basic for Applications (VBA) 程式設計介面可讓駭客撰寫腳本。一些較新的 Office 版本都已經停用了開啟檔案時自動執行巨集腳本的功能。所以,惡意程式會提醒使用者必須執行巨集才能檢視檔案,而許多使用者也都會照做,這就是為何惡意巨集至今仍是一項威脅。
惡意的 Office 巨集會從駭客的伺服器下載勒索病毒到本機上執行,勒索病毒會掃描網路與本機儲存設備上的重要檔案並將檔案加密。加密時通常採用 128 或 256 位元對稱式 Advanced Encryption Standard (AES) 加密演算法,如此就無法被暴力破解。有些勒索病毒也會採用公開金鑰+私密金鑰的加密演算法,例如 Rivest-Shamir-Adleman (RSA)。
勒索病毒作者會內建了一些機制來防止使用者不支付贖金就直接將病毒清除。有的駭客會將螢幕鎖住讓使用者無法進入 Windows 桌面。由於用來加密檔案的加密演算法程式庫是無法破解的,因此即使清除了勒索病毒,被加密的資料還是無法救得回來。
基本上,FBI 建議受害的企業切勿支付贖金,不過另有一派專家卻支持企業支付贖金來救回檔案。但有時候即使支付了贖金,駭客也不一定會提供解密金鑰。此時受害企業就會賠了夫人又折兵,既沒救回檔案,還付了一大筆錢。您當然可以直接將惡意程式清除,但除非您的資料有事先備份,否則很難不支付贖金就能救回檔案。
絕大多數的資安廠商都提供修補更新或可下載工具來清除勒索病毒。在清除勒索病毒之後,您就能從備份資料復原檔案。此外,您也可以將電腦還原到原始出廠設定,如此一來,電腦就會回到當初您購買時的狀態,只不過所有非原廠隨附的軟體都必須重新安裝。
英國資安廠商 Sophos Group 已研究出 Ryuk 的攻擊流程。請看下圖。
您有好幾種方式可以防止您的裝置和資料遭勒索病毒襲擊。由於勒索病毒的感染源頭大多經由惡意電子郵件,因此,首先您可以採用一套可掃描內送郵件的惡意程式防護來偵測可疑的連結或附件檔案。只要發現可疑內容便將郵件隔離,防止郵件進入使用者的信箱。
此外,在網路上架設內容過濾機制也有不錯的效果,可防止使用者連上駭客架設的網站。電子郵件過濾加上內容過濾,是防止勒索病毒以及大多數惡意程式進入您內部網路的一種有效方式。
所有網路上的裝置 (包括智慧型手機) 都應安裝一套惡意程式防護軟體。惡意程式防護能防止勒索病毒將檔案加密,並且在其發作之前將它從系統移除。企業若允許員工使用自己的裝置來上班,那麼在使用者裝置上安裝一套企業核准的惡意程式防護就非常重要。
使用者教育訓練也是防範勒索病毒的一種主動作法,既然勒索病毒通常一開始都是利用網路釣魚或社交工程技巧,如果使用者能學會分辨這類手法,對於防範惡意程式也會大有助益。結合教育訓練以及惡意程式防護系統,就能大大降低網路資安風險。即使惡意程式防護系統失效,受過訓練的使用者還是不會輕易上當讓惡意程式有機會執行。
即使目前勒索病毒威脅在全球大致上已經式微,不過有幾種類型的勒索病毒對企業來說仍舊構成不小危險,其攻擊目標是那些沒有做好有效防護的一般個人或企業。
CryptoLocker 是最早肆虐全球的勒索病毒之一。CryptoLocker 專門攻擊 Windows 電腦,在 2014 年相當盛行。其感染源頭一樣是透過電子郵件與惡意附件,該病毒採用非對稱式加密演算法 (RSA) 來將重要檔案加密。
Locky 是使用社交工程技巧的勒索病毒範例。Locky 現身於 2016 年,經由電子郵件隨附的 Word 文件來散布。當使用者開啟該文件時,除了出現一則要求使用者啟用巨集的訊息之外,文件的內容看起來都像亂碼一樣。當使用者在啟用了巨集之後再開啟該文件時,Locky 就會開始執行。
Bad Rabbit 是一個使用者自願下載的惡意程式範例。它通常是偽裝成 Adobe Flash 更新檔來散布,此惡意程式在執行之後,就會開始加密檔案,最後再將系統重新開機。接下來,Bad Rabbit 會中斷電腦正常開機程序,然後顯示一個勒索訊息畫面,要求受害者支付贖金來救回被加密的檔案。
以上只是幾個目前仍不時侵襲企業的勒索病毒範例,勒索病毒集團隨時都在找尋新的方法來挾持檔案以勒索贖金。只要您了解勒索病毒的運作方式,您就能做好適當的防禦。您可採用的勒索病毒防範措施包括:一套有效的惡意程式防護、使用者教育訓練,以及可攔截惡意郵件的電子郵件過濾產品。