勒索病毒是什麼？7 招預防勒索病毒威脅

勒索病毒是什麼？真實案例介紹

勒索軟體有時也稱作勒索病毒，英文為 Ransomware，是由「贖金（Ransom）」和「惡意軟體（Malware）」組合而成，其意圖昭然若揭：就是要求受害者以贖金交換被挾持的東西，而在勒索病毒攻擊中，被挾持的東西即是具有價值的資料。勒索病毒的變種與分支眾多，Bad Rabbit、Cryptolocker、LockBit、Locky、Ryuk、WannaCry 都是讓人聞之色變的勒索軟體。

勒索病毒被植入目標電腦或裝置之後，便會自動開始將硬碟裡的資料加密，需要金鑰才可以解開，而沒有金鑰的受害者無法存取檔案。駭客隨即寄給受害者勒索信件或傳送勒索訊息，說明受害者支付贖金才可獲得金鑰，並列出贖金金額及指定付款方式。有些駭客團體甚至會下達最後通牒，若不在特定時間內付款，贖金將會增加，或是「雙重勒索（Double Extortion）」，威脅要將受害者的機敏資料外流或售出，脅迫受害者付款。

晟崴小知識：

台灣勒索病毒真實案例

受到勒索軟體攻擊，不只機敏資料面臨危險，更會造成 IT 系統停擺，營運被迫暫停，下面整理了兩個台灣近年較大的案例：

1. 2025 年 2 月和 3 月，馬偕醫院與彰化基督教醫院分別傳出遭受 CrazyHunter 勒索軟體攻擊，癱瘓醫院電腦系統。馬偕醫院多達 600 多台電腦受影響，病患個人檔案無法開啟。駭客除要求支付贖金外，還在暗網兜售病患資料。但資安專家經調查比對後發現，駭客所聲稱竊取的資料與馬偕醫院實際使用的格式不符，且馬偕醫院系統也未出現資料外洩情形。彰化基督教醫院同樣因攻擊導致院外掛號系統癱瘓，但後續並未傳出個資外洩事件。
2. 2024 年年初，京鼎集團遭受 LockBit 病毒集團攻擊，企業網站首頁遭綁架並張貼駭客訊息，宣稱已竊取 5TB 的企業機密資料。駭客威脅京鼎的客戶與員工，若公司不支付贖金，將外洩客戶資料，而員工恐面臨失業。這是台灣首起不僅以機密資料威脅，還騎劫企業網站首頁的勒索病毒攻擊案例。

由於幾乎所有有連上網路的裝置都可以成為勒索病毒的受害者，潛在攻擊目標可以說是不計其數。同時隨著 RaaS （Ransomware-as-a-Service，勒索軟體即服務）逐漸興起，勒索病毒工具可以輕鬆租借，執行攻擊的技術門檻降低。綜合以上所述，勒索病毒攻擊深受網路罪犯喜愛。

至於 RaaS 又是如何運作，和一般勒索病毒攻擊有何不同？下一段會再詳細介紹新興的 RaaS 模式。

勒索軟體的 5 大運作種類

依據對受害目標所造成的傷害或運作模式，勒索軟體可以分為以下 5 大類：加密型勒索病毒（Crypto Ransomware）、螢幕封鎖型勒索病毒（Screen Lockers）、隱私挾持勒索病毒（Leakware／Doxware）、恐嚇型勒索病毒（Scareware），以及 RaaS。

一、加密型勒索病毒 Crypto Ransomware／Encrypting Ransomware／Encryptors

植入目標電腦後，加密型勒索病毒透過先進的加密演算法將電腦中的檔案一一上鎖，只能透過駭客所持有的金鑰解鎖。受害者還是可以操作電腦，只是無法開啟檔案。

二、螢幕封鎖型勒索病毒 Screen Lockers

螢幕封鎖型勒索病毒與加密型勒索病毒不同之處，在於感染電腦後，封鎖型勒索病毒會將螢幕封鎖，受害者便無法操作電腦。另一種封鎖型勒索病毒透過更換裝置密碼或是 PIN 碼，讓受害者同樣不能使用裝置。

三、隱私挾持勒索病毒 Leakware／Doxware

隱私挾持勒索病毒威脅散播感染電腦上的機敏資料，向受害者要求贖金。有些隱私挾持勒索病毒會偽裝成執法人員，聲稱發現受害者電腦上有非法行為，但可以罰款代替入監坐牢。

四、恐嚇軟體 Scareware

恐嚇軟體常用於社交工程詐騙中，藉以讓目標感到心生恐懼或焦慮，因而依照指令行動。例如，恐嚇軟體可能告知受害者電腦感染了惡意軟體，需要購買防毒軟體才能解決，再提供假造的防毒軟體購買連結詐財；或假裝電腦內的檔案已遭加密，要求受害者支付贖金換取金鑰等等。

五、勒索病毒即服務 RaaS

除了上述 4 類以外，近年來也逐漸興盛的勒索軟體運作模式稱作 RaaS 。把勒索軟體工具和駭客行為變成付款即可利用的服務，如同線上影音串流服務一般容易使用。提供駭客服務的團體或個人從部署勒索軟體到收款及恢復後害者權限等，所有過程一手包辦，沒有任何技術背景的人，也可以藉著 RaaS 進行勒索病毒攻擊，獲取經濟利益。

【想更進一步瞭解不同的惡意軟體，可以參考《惡意軟體有哪些》文章。】

 9 大知名勒索病毒家族

勒索病毒攻擊猖獗，全球受害者眾多，病毒種類更多。網路安全公司 McAfee 光是在 2013 年第一季就取得了 250,000 多種不同的勒索病毒樣本。一般來說，使用特定勒索病毒的駭客組織，會以該病毒的名稱來稱呼，例如使用 LockBit 勒索病毒的駭客集團，便被稱為「LockBit 集團」。

目前在世界上較盛行的勒索軟體與相關集團有以下：

怎麼會中「勒索病毒」？5 種中毒原因

在勒索病毒開始肆虐，加密電腦和檔案之前，首先需要感染目標。也就是說，駭客需要將病毒本身植入目標電腦中。常見勒索病毒感染的途徑包含：

• 網路釣魚（Phishing）／魚叉式網路釣魚（Spear Phishing）
  社交工程中的釣魚和魚叉式釣魚，透過傳送電子信件或是手機簡訊，設下騙局威脅利誘目標點擊內文中的連結。比方說，警告目標在某網站的帳號被盜，或是目標中了大獎，再將其引導至偽造的網站，騙取機敏資料或植入惡意程式。

• 零日攻擊（Zero-Day Attacks）
  零日攻擊針對軟體、硬體和韌體中開發人員尚未修補的漏洞，根據系統弱點，設計出專屬的網路攻擊計畫，手法和形式多樣。例如 2023 年有駭客組織利用微軟的通用紀錄檔系統（Common Log File System，CLFS）驅動程式中的權限提升漏洞（漏洞編號 CVE-2023-28252），散播勒索病毒 Nokoyawa。

• 路過式下載（Drive-by Download）
  路過式下載，也叫隱藏式下載、偷渡下載、強迫下載，顧名思義就是駭客利用瀏覽器、應用程式或系統的漏洞，在使用者不知情的情況下，將惡意程式下載到電腦或裝置上。

• 可攜帶裝置
  駭客只要事先將 USB 硬碟和外接硬碟等可攜帶裝置感染勒索病毒，即可拿來感染其他電腦或網路系統。受害者只要在不知情的情況下將其連接上自己的裝置，勒索病毒就會開始運作。

• 公共 Wi-Fi
  餐廳、機場、咖啡廳、購物中心等場所提供的 Wi-Fi 雖然便利，但可能因未加密而淪為駭客散播勒索病毒的工具。除此之外，駭客也可能設立假的 Wi-Fi 熱點，誘使不知情的使用者連上，再感染其電腦和裝置。

勒索病毒一旦入侵電腦或是裝置後，便會開始執行惡意程式碼，尋找電腦上較有價值的檔案加密。勒索軟體種類繁多，亦有多樣變種。而依據病毒的設計方式和駭客的目標，各別有不同的加密流程以及針對不同的檔案類型加密。一般來說，勒索軟體主要針對以下格式的檔案加密：

• 文件檔案：副檔名為 .docx、.xlsx、.pptx、.pdf 等檔案

• 影像檔案：副檔名為 .jpg、.jpeg、.png、.bmp、.gif 等檔案

• 音訊檔案：副檔名為 .mp3、.wav、.flac 等檔案

• 影片檔案：副檔名為 .mp4、.mov、.avi、.wmv、.flv 等檔案

• 資料庫檔案：副檔名為 .db、.accdb、.nsf、.fp7 等檔案

• 壓縮檔案：副檔名為 .zip、.rar 等檔案

• 原始碼檔案：副檔名為 .js、.htm、.css 等檔案

• 虛擬機檔案：副檔名為 .vmx、.vmxf、.vmdk 等檔案

• 備份檔案：副檔名為 .bak、.tmp、.gho 等檔案

我的電腦裡有勒索軟體嗎？中毒前兆

除了收到勒索信件和訊息以外，還有什麼方式能知道自己的電腦受到勒索病毒的威脅呢？其實還是有一些徵兆可以協助我們及早發現勒索軟體。

中勒索病毒的前兆：

電腦運行速度降低

勒索病毒加密檔案需要佔用電腦的運算資源，排擠其他工作。因此如果發現電腦不明原因速度變慢，那可能是感染了惡意軟體。

防毒軟體自行關閉

有些比較聰明的勒索病毒會繞過或關閉裝置上的防毒軟體。若掃毒和資安防護軟體自行關閉，很有可能是電腦已經中毒了。

副檔名遭竄改

通常勒索病毒加密電腦中的檔案後，會更改檔案原本的副檔名，例如 .cryptolocker、.locky、.ransomexxx、.ryuk、.petya、.wannacry 等等都是知名的勒索病毒駭客集團使用的副檔名。

檔案消失或遭更動

有些勒索病毒，除了會加密檔案，也會擅自刪除或修改受感染電腦中的檔案。

電腦異常重開機

另外，也有部分勒索病毒會強制電腦重新開機，如果這樣的情況經常發生，建議檢查一下電腦是否感染了勒索病毒。

中勒索病毒怎麼辦？

注意到電腦有上述中勒索病毒的前兆，發現真的感染了的話，該怎麼做呢？以下提供勒索軟體中毒的緊急處理辦法：

隔離中毒裝置

中斷乙太和無線網路連結、拔除外接裝置（如行動硬碟），並關閉自動維護任務，讓感染電腦的病毒無法再散播出去。如果檔案還在加密中，直接將電腦強制關機，中斷加密行為。

拍下勒索訊息

如果已經出現勒索信件或訊息，用另外的裝置將勒索訊息拍下來。以便後續釐清病毒相關資訊，和協助有關單位調查網路犯罪活動。

解密及移除勒索病毒

判斷電腦上的勒索病毒種類與分支，了解其特性，對於解密和移除病毒大有幫助。在知道勒索病毒屬於什麼分支或變種後，可嘗試搜尋相對應的解密工具，部分防毒軟體亦有提供勒索病毒解密工具。

尋求專家幫助

如果無法判斷病毒種類，建議在隔離中毒裝置後，直接尋求資安專家協助。

報警

使用勒索病毒，實屬犯罪活動的一種，建議報警並通知有關單位。保留受感染的主機，讓調查單位進行進一步分析。

考慮支付贖金

依照駭客要求支付贖金，無異於鼓勵網路罪犯，是處理勒索病毒的下下策。而如果被加密的檔案極度重要，且沒有備份檔案，在試過其他所有方法後，也只能考慮以贖金換金鑰。但仍建議支付贖金之前，與執法單位和資安專家多方詳細討論。

該如何預防「勒索病毒」的威脅？

勒索病毒處理不易，對企業和個人都可造成嚴重損失，因此事先做好防護措施的重要性自是不言而喻。以下整理了 7 大預防勒索軟體威脅的具體作法：

 一、提升資安意識

由於勒索病毒多透過社交工程方式傳播，提高資安意識，不隨意點擊或下載不明軟體、連接外接裝置前，先掃毒等，都可降低電腦感染勒索軟體的機會。

二、即時更新軟硬體

勒索病毒另一種常見的傳播途徑是利用系統本身的漏洞。在軟體、硬體、韌體供應商釋出修補內容時，立即下載更新，以減低資安漏洞被利用的機會。

三、使用防毒軟體並定期更新

防毒軟體可監控電腦和裝置中的活動，及早發現異常，並及時處理病毒。定期更新防毒軟體，除了修補漏洞以外，也更新防毒軟體內的資料庫，強化對新型勒索病毒的防護能力。

四、落實資料備份

定期備份電腦和系統中的重要檔案，規劃妥善的災難復原機制，如此一來，即使中勒索病毒，也可以減輕失去重要資料的損失。

但要注意的是，有些勒索病毒可以在同個伺服器中，找到備份檔案。因此也可以考慮選擇異地備援的方案，分散風險、確保資料安全。

五、加密資料

雙重勒索病毒駭客集團除了將受害電腦和系統上的檔案加密以外，也會以雙重勒索方式，威脅外洩機敏資料，迫使受害者付款。事先將重要資料加密，同樣可減輕受勒索病毒時的損害。

六、使用監控系統

採用監控 IT 系統的資安措施，主動尋找系統內中可能的異常活動，第一時間發現勒索病毒的蹤跡。

七、定期進行掃描

定期掃描系統，確認是否有可能被駭客利用的漏洞，並及時修補，避免漏洞遭利用來散播勒索軟體。

針對勒索病毒，晟崴科技提供端點安全防護系統、MDR、資安弱點通報機制、弱點掃描、滲透測試等資安防護產品，可以協助企業找出可被利用的系統漏洞，及監控裝置內異常的活動，即時通報處理，第一時間中斷勒索病毒攻擊。除此之外，晟崴科技也有文件加密系統，保障機敏資料的安全性。

歡迎聯絡晟崴科技