勒索病毒是什么? 7 招预防勒索病毒威胁
2023 年全球至少侦测到 3 亿 1 千 7 百 59 万起勒索病毒攻击事件,是数量最庞大的网路攻击类型之一。勒索病毒为何如此受骇客青睐?究竟有什么可怕之处呢?对我们有什么影响?中勒索病毒又该怎么办?有没有防范方法?本文将回答以上问题,揭开勒索病毒的神秘面纱。
勒索病毒是什么?真实案例介绍
勒索软体有时也称作勒索病毒,英文为 Ransomware,是由「赎金(Ransom)」和「恶意软体(Malware)」组合而成,其意图昭然若揭:就是要求受害者以赎金交换被挟持的东西,而在勒索病毒攻击中,被挟持的东西即是具有价值的资料。勒索病毒的变种与分支众多,Bad Rabbit、Cryptolocker、LockBit、Locky、Ryuk、WannaCry 都是让人闻之色变的勒索软体。
勒索病毒被植入目标电脑或装置之后,便会自动开始将硬碟里的资料加密,需要金钥才可以解开,而没有金钥的受害者无法存取档案。骇客随即寄给受害者勒索信件或传送勒索讯息,说明受害者支付赎金才可获得金钥,并列出赎金金额及指定付款方式。有些骇客团体甚至会下达最后通牒,若不在特定时间内付款,赎金将会增加,或是「双重勒索(Double Extortion)」,威胁要将受害者的机敏资料外流或售出,胁迫受害者付款。
晟崴小知识:
虽然中文习惯以「勒索病毒」称呼,但其实「勒索软体」不一定是「电脑病毒」,电脑病毒为依附在宿主程式,具备自我复制和自我散播能力的恶意软体;而勒索软体则是以加密档案并要求赎金为主要目的的恶意程式,通常不具备病毒的自我复制特性。但勒索病毒可与蠕虫、电脑病毒其他恶意软体组合成具有多重功能的复合型威胁。
台湾勒索病毒真实案例
受到勒索软体攻击,不只机敏资料面临危险,更会造成 IT 系统停摆,营运被迫暂停,下面整理了两个台湾近年较大的案例:
- 2025 年 2 月和 3 月,马偕医院与彰化基督教医院分别传出遭受 CrazyHunter 勒索软体攻击,瘫痪医院电脑系统。马偕医院多达 600 多台电脑受影响,病患个人档案无法开启。骇客除要求支付赎金外,还在暗网兜售病患资料。但资安专家经调查比对后发现,骇客所声称窃取的资料与马偕医院实际使用的格式不符,且马偕医院系统也未出现资料外泄情形。彰化基督教医院同样因攻击导致院外挂号系统瘫痪,但后续并未传出个资外泄事件。
- 2024 年年初,京鼎集团遭受 LockBit 病毒集团攻击,企业网站首页遭绑架并张贴骇客讯息,宣称已窃取 5TB 的企业机密资料。骇客威胁京鼎的客户与员工,若公司不支付赎金,将外泄客户资料,而员工恐面临失业。这是台湾首起不仅以机密资料威胁,还骑劫企业网站首页的勒索病毒攻击案例。
由于几乎所有有连上网路的装置都可以成为勒索病毒的受害者,潜在攻击目标可以说是不计其数。同时随着 RaaS (Ransomware-as-a-Service,勒索软体即服务)逐渐兴起,勒索病毒工具可以轻松租借,执行攻击的技术门槛降低。综合以上所述,勒索病毒攻击深受网路罪犯喜爱。
至于 RaaS 又是如何运作,和一般勒索病毒攻击有何不同?下一段会再详细介绍新兴的 RaaS 模式。
勒索软体的 5 大运作种类
依据对受害目标所造成的伤害或运作模式,勒索软体可以分为以下 5 大类:加密型勒索病毒(Crypto Ransomware)、萤幕封锁型勒索病毒(Screen Lockers)、隐私挟持勒索病毒(Leakware/Doxware)、恐吓型勒索病毒(Scareware),以及 RaaS。
一、加密型勒索病毒 Crypto Ransomware/Encrypting Ransomware/Encryptors
植入目标电脑后,加密型勒索病毒透过先进的加密演算法将电脑中的档案一一上锁,只能透过骇客所持有的金钥解锁。受害者还是可以操作电脑,只是无法开启档案。
二、萤幕封锁型勒索病毒 Screen Lockers
萤幕封锁型勒索病毒与加密型勒索病毒不同之处,在于感染电脑后,封锁型勒索病毒会将萤幕封锁,受害者便无法操作电脑。另一种封锁型勒索病毒透过更换装置密码或是 PIN 码,让受害者同样不能使用装置。
三、隐私挟持勒索病毒 Leakware/Doxware
隐私挟持勒索病毒威胁散播感染电脑上的机敏资料,向受害者要求赎金。有些隐私挟持勒索病毒会伪装成执法人员,声称发现受害者电脑上有非法行为,但可以罚款代替入监坐牢。
四、恐吓软体 Scareware
恐吓软体常用于社交工程诈骗中,借以让目标感到心生恐惧或焦虑,因而依照指令行动。例如,恐吓软体可能告知受害者电脑感染了恶意软体,需要购买防毒软体才能解决,再提供假造的防毒软体购买连结诈财;或假装电脑内的档案已遭加密,要求受害者支付赎金换取金钥等等。
五、勒索病毒即服务 RaaS
除了上述 4 类以外,近年来也逐渐兴盛的勒索软体运作模式称作 RaaS 。把勒索软体工具和骇客行为变成付款即可利用的服务,如同线上影音串流服务一般容易使用。提供骇客服务的团体或个人从部署勒索软体到收款及恢复后害者权限等,所有过程一手包办,没有任何技术背景的人,也可以借着 RaaS 进行勒索病毒攻击,获取经济利益。
【想更进一步了解不同的恶意软体,可以参考《恶意软体有哪些》文章。】
9 大知名勒索病毒家族
勒索病毒攻击猖獗,全球受害者众多,病毒种类更多。网路安全公司 McAfee 光是在 2013 年第一季就取得了 250,000 多种不同的勒索病毒样本。一般来说,使用特定勒索病毒的骇客组织,会以该病毒的名称来称呼,例如使用 LockBit 勒索病毒的骇客集团,便被称为「LockBit 集团」。
目前在世界上较盛行的勒索软体与相关集团有以下:
| 勒索病毒家族 | 主要活跃时间 | 主要攻击目标 | 特色 |
| WannaCry | 2017 年 | 全球企业、教育机构、医疗机构、政府机关等 | 利用程式的漏洞进行加密,同时也是蠕虫恶意程式。 |
| Ryuk | 2018 年 - 至今 | 针对大型政府机构 | 与别的电脑病毒搭配入侵目标资讯系统加密档案,甚至可以在共享的伺服器寻找并破坏备份档案。 |
| LockBit | 2019 年 - 至今 | 各产业,针对制造业 | LockBit 骇客集团提供 RaaS 服务,在 2023 年占被侦测到的勒索病毒攻击中的 22%,占所有勒索病毒中最多。 |
| Locky | 2016 年 | 医疗机构、教育机构 | 最早以钓鱼电子邮件的方式散布,诱骗使用者下载加密软体。 |
| CryptoLocker | 2013 年 - 2018 年 | 各产业 | 以木马程式进行攻击,虽然 CryptoLocker 勒索病毒本身很容易删除,但经其加密的档案一定要透过金钥才能解密。 |
| Bad Rabbit | 2017 年,近年几乎消失 | 各产业 | 利用 EternalRomance 的漏洞,进行攻击。未修补的 Windows 7 和后续作业系统较容易受 Bad Rabbit 威胁。 |
| Conti | 2019 年 - 2022 年 | 公私部门与各产业 | 采用 RaaS 营运模式,被视为 Ryuk 的后继者。 |
| REvil/Sodinokibi | 2021 年 - 2022 年 | 各产业,特别是大型企业 | 同样以 RaaS 方式进行,宏碁曾经为其受害者。 |
| Clop | 2019 年 - 至今 | 各产业,包含教育机构和网路行业等 | Clop 集团除了以大型钓鱼诈骗方式散播勒索病毒,也会使用其他非加密的网路攻击。 |
怎么会中「勒索病毒」? 5 种中毒原因
在勒索病毒开始肆虐,加密电脑和档案之前,首先需要感染目标。也就是说,骇客需要将病毒本身植入目标电脑中。常见勒索病毒感染的途径包含:
-
网路钓鱼(Phishing)/鱼叉式网路钓鱼(Spear Phishing)
社交工程中的钓鱼和鱼叉式钓鱼,透过传送电子信件或是手机简讯,设下骗局威胁利诱目标点击内文中的连结。比方说,警告目标在某网站的帐号被盗,或是目标中了大奖,再将其引导至伪造的网站,骗取机敏资料或植入恶意程式。
零日攻击针对软体、硬体和韧体中开发人员尚未修补的漏洞,根据系统弱点,设计出专属的网路攻击计画,手法和形式多样。例如 2023 年有骇客组织利用微软的通用纪录档系统(Common Log File System,CLFS)驱动程式中的权限提升漏洞(漏洞编号 CVE-2023-28252),散播勒索病毒 Nokoyawa。
-
路过式下载(Drive-by Download)
路过式下载,也叫隐藏式下载、偷渡下载、强迫下载,顾名思义就是骇客利用浏览器、应用程式或系统的漏洞,在使用者不知情的情况下,将恶意程式下载到电脑或装置上。
-
可携带装置
骇客只要事先将 USB 硬碟和外接硬碟等可携带装置感染勒索病毒,即可拿来感染其他电脑或网路系统。受害者只要在不知情的情况下将其连接上自己的装置,勒索病毒就会开始运作。
-
公共 Wi-Fi
餐厅、机场、咖啡厅、购物中心等场所提供的 Wi-Fi 虽然便利,但可能因未加密而沦为骇客散播勒索病毒的工具。除此之外,骇客也可能设立假的 Wi-Fi 热点,诱使不知情的使用者连上,再感染其电脑和装置。
勒索病毒的攻击重点
勒索病毒一旦入侵电脑或是装置后,便会开始执行恶意程式码,寻找电脑上较有价值的档案加密。勒索软体种类繁多,亦有多样变种。而依据病毒的设计方式和骇客的目标,各别有不同的加密流程以及针对不同的档案类型加密。一般来说,勒索软体主要针对以下格式的档案加密:
-
文件档案:副档名为 .docx、.xlsx、.pptx、.pdf 等档案
-
影像档案:副档名为 .jpg、.jpeg、.png、.bmp、.gif 等档案
-
音讯档案:副档名为 .mp3、.wav、.flac 等档案
-
影片档案:副档名为 .mp4、.mov、.avi、.wmv、.flv 等档案
-
资料库档案:副档名为 .db、.accdb、.nsf、.fp7 等档案
-
压缩档案:副档名为 .zip、.rar 等档案
-
原始码档案:副档名为 .js、.htm、.css 等档案
-
虚拟机档案:副档名为 .vmx、.vmxf、.vmdk 等档案
-
备份档案:副档名为 .bak、.tmp、.gho 等档案
我的电脑里有勒索软体吗?中毒前兆
除了收到勒索信件和讯息以外,还有什么方式能知道自己的电脑受到勒索病毒的威胁呢?其实还是有一些征兆可以协助我们及早发现勒索软体。
中勒索病毒的前兆:
电脑运行速度降低
勒索病毒加密档案需要占用电脑的运算资源,排挤其他工作。因此如果发现电脑不明原因速度变慢,那可能是感染了恶意软体。
防毒软体自行关闭
有些比较聪明的勒索病毒会绕过或关闭装置上的防毒软体。若扫毒和资安防护软体自行关闭,很有可能是电脑已经中毒了。
副档名遭窜改
通常勒索病毒加密电脑中的档案后,会更改档案原本的副档名,例如 .cryptolocker、.locky、.ransomexxx、.ryuk、.petya、.wannacry 等等都是知名的勒索病毒骇客集团使用的副档名。
档案消失或遭更动
有些勒索病毒,除了会加密档案,也会擅自删除或修改受感染电脑中的档案。
电脑异常重开机
另外,也有部分勒索病毒会强制电脑重新开机,如果这样的情况经常发生,建议检查一下电脑是否感染了勒索病毒。
中勒索病毒怎么办?
注意到电脑有上述中勒索病毒的前兆,发现真的感染了的话,该怎么做呢?以下提供勒索软体中毒的紧急处理办法:
隔离中毒装置
中断乙太和无线网路连结、拔除外接装置(如行动硬碟),并关闭自动维护任务,让感染电脑的病毒无法再散播出去。如果档案还在加密中,直接将电脑强制关机,中断加密行为。
拍下勒索讯息
如果已经出现勒索信件或讯息,用另外的装置将勒索讯息拍下来。以便后续厘清病毒相关资讯,和协助有关单位调查网路犯罪活动。
解密及移除勒索病毒
判断电脑上的勒索病毒种类与分支,了解其特性,对于解密和移除病毒大有帮助。在知道勒索病毒属于什么分支或变种后,可尝试搜寻相对应的解密工具,部分防毒软体亦有提供勒索病毒解密工具。
寻求专家帮助
如果无法判断病毒种类,建议在隔离中毒装置后,直接寻求资安专家协助。
报警
使用勒索病毒,实属犯罪活动的一种,建议报警并通知有关单位。保留受感染的主机,让调查单位进行进一步分析。
考虑支付赎金
依照骇客要求支付赎金,无异于鼓励网路罪犯,是处理勒索病毒的下下策。而如果被加密的档案极度重要,且没有备份档案,在试过其他所有方法后,也只能考虑以赎金换金钥。但仍建议支付赎金之前,与执法单位和资安专家多方详细讨论。
该如何预防「勒索病毒」的威胁?
勒索病毒处理不易,对企业和个人都可造成严重损失,因此事先做好防护措施的重要性自是不言而喻。以下整理了 7 大预防勒索软体威胁的具体作法:
一、提升资安意识
由于勒索病毒多透过社交工程方式传播,提高资安意识,不随意点击或下载不明软体、连接外接装置前,先扫毒等,都可降低电脑感染勒索软体的机会。
二、即时更新软硬体
勒索病毒另一种常见的传播途径是利用系统本身的漏洞。在软体、硬体、韧体供应商释出修补内容时,立即下载更新,以减低资安漏洞被利用的机会。
三、使用防毒软体并定期更新
防毒软体可监控电脑和装置中的活动,及早发现异常,并及时处理病毒。定期更新防毒软体,除了修补漏洞以外,也更新防毒软体内的资料库,强化对新型勒索病毒的防护能力。
四、落实资料备份
定期备份电脑和系统中的重要档案,规划妥善的灾难复原机制,如此一来,即使中勒索病毒,也可以减轻失去重要资料的损失。
但要注意的是,有些勒索病毒可以在同个伺服器中,找到备份档案。因此也可以考虑选择异地备援的方案,分散风险、确保资料安全。
五、加密资料
双重勒索病毒骇客集团除了将受害电脑和系统上的档案加密以外,也会以双重勒索方式,威胁外泄机敏资料,迫使受害者付款。事先将重要资料加密,同样可减轻受勒索病毒时的损害。
六、使用监控系统
采用监控 IT 系统的资安措施,主动寻找系统内中可能的异常活动,第一时间发现勒索病毒的踪迹。
七、定期进行扫描
定期扫描系统,确认是否有可能被骇客利用的漏洞,并及时修补,避免漏洞遭利用来散播勒索软体。
针对勒索病毒,晟崴科技提供端点安全防护系统、MDR、资安弱点通报机制、弱点扫描、渗透测试等资安防护产品,可以协助企业找出可被利用的系统漏洞,及监控装置内异常的活动,即时通报处理,第一时间中断勒索病毒攻击。除此之外,晟崴科技也有文件加密系统,保障机敏资料的安全性。
欢迎联络晟崴科技
进一步了解晟崴科技如何帮您防范勒索软体的攻击!
