面對(加密)勒索軟體,什麼是該做? 什麼是不該做?
Date:2016-03-19
勒索程式的危害? 已被勒索軟體加密? 我可以拿回檔案嗎? 可以打開加密檔嗎? 如何防範勒索軟體? 勒索程式的簡短歷史 簡介
 
加密勒索程式的危害程度:
  • 不只攻擊受害電腦內的重要文件和檔案,也會搜尋受害電腦連結的網路芳鄰、網路磁碟機、檔案伺服器等,攻擊公司內網所有共享的檔案。一旦中毒,這個勒索軟體不只是會影響單一電腦,更會感染公司內部網路的所有檔案。
  • 發出勒索訊息後,受害電腦無法上網,也無法開啟遭加密的文件。
  • 加密後,使用者無法自行復原。
  • 即使成功付贖金取得金鑰,也有少數檔案無法使用。
  • 惡意程式加密內網共享文件時,會占用頻寬,導致內網速度超慢,受害電腦效能也會大減。
  • 不只Windows環境、連Linux 及Macintosh 都已經有災情傳出。
加密勒索程式的運作方式:
  • 加密勒索程式會使用非對稱加密 (asymmetric encryption) 技術,把電腦檔案及內聯網絡的檔案加密。檔案類別包括Office、PDF..等文件、圖片、相片、影片、繪圖編輯檔、數據庫檔案及電子憑證檔案等等。
  • 加密後,惡意程式會把加密密鑰回傳到指令及控制伺服器 (C&C server),並在受感染的電腦留下勒索訊息,要求用戶支付指定金額的比等幣 (BitCoin),以換取解密密鑰,否則唯一的解密密鑰將被刪除。
  • 由於加密勒索軟件使用高強度加密算法,因此,在沒有解密密鑰的情況下,被加密的檔案無法回復。這會導致公司的業務運作受到嚴重影響。
加密勒索程式的感染途徑:
  • 加密勒索程式的感染途徑,與一般的惡意程式如:病毒/蠕蟲/間諜程式..如出一轍。除了釣魚電郵、網頁式攻擊(如順道下載、水坑式攻擊…),亦會透過其他途徑來進行傳播,包括P2P程式分享檔案,更新假冒 Flash Player,及安裝假冒的多媒體播放程式等。
  • 加密勒索軟體很多都是透過釣魚電郵感染電腦,釣魚電郵會載有壓縮檔案附件 (zip 檔案),內裡包含一個偽造 PDF 文件的執行檔 (exe 檔案)。當用戶打開這個執行檔案,電腦便會受到感染。
  • 最近,新變種的加密勒索程式碼會插入 DOC 文件檔內,透過釣魚電郵發送給受害者。若用戶打開 DOC 文件檔及允許巨集(macro) 程式執行,電腦便會受到感染。
 

站在人性角度,勒索程式是最骯髒的一種攻擊方式。罪犯使用惡意軟體來加密受害者硬碟-家庭相簿、作業、音樂及未完成的小說-要求付錢才會釋放檔案。最嚴重的竟然是,只有保持分開的檔案備份,然後再離線重新備份,才有辦法防衛。

目前已有許多勒索程式變種,並且所有作業系統都可能遭殃。忠告就是:千萬別付錢給罪犯-許多企業及個人只是想要找回檔案,所以他們付了錢,讓這些罪犯有利可圖。雖然有不少方法可以對付這些不法之徒,然而最重要的還是防範未然,別讓不法之徒有機可乘。(由於目前加密勒索病毒已經發展為集團式的精密的分工分潤體系;每個攻擊活動的payload (酬載)都會帶有所謂的活動號碼(Campaign ID)及攻擊對象的參數;後端的金流系統會依據活動號碼自動分潤給在這個活動有參與的人員(如開發惡意攻擊程式的;遞送惡意程式的...),所以只要您付了贖金;該犯罪集團就知道您付得起贖金;接下來您就會有層出不窮的機會被攻擊;進而轉換為目標式攻擊;這也就是為何專家不建議受災戶支付贖金的主因之一。)

去年 Sony Pictures 爆發嚴重資安事故,據悉在事發前公司高層就曾收到勒索信,揚言不付錢就會發動攻擊。其實類似的勒索事件非常多,很多中小企都不幸中招。但資訊安全專家就警告別向勒索軟體屈服,因為付了錢也不一定能贖回重要檔案,因此日常做好資安防護和備份就很重要。

勒索軟體如 CyptoLocker、 CrptoWall、CryptoDefense、及 CTB-Locker在企業間十分猖獗,這些勒索軟體目的都是十分簡單:以偷去的資料作為要脅,向受害人勒索金錢。我們必須明白甚麼是勒索軟體,它們對企業做成甚麼影響及危機。最重要是面對這些勒索軟體,有甚麼是該做,有甚麼是不該做,避免成為受害者。