什麼是勒索軟體?
勒索軟體是網路罪犯利用的一種惡意軟體(有惡意的軟體)。如果電腦或網路已被勒索軟體感染,勒索軟體就會封鎖對系統的存取或加密其資料。網路罪犯會向受害者索要用來交換資料的贖金。若想免於勒索軟體感染,建議保持高度警戒並使用安全軟體。惡意軟體攻擊的受害者在受感染後有三種選擇:他們可以支付贖金、嘗試移除惡意軟體,或是重啟裝置。勒索用木馬程式經常利用的攻擊媒介包括遠端桌面通訊協定、網路釣魚電子郵件和軟體漏洞。因此,勒索軟體攻擊可能以個人和公司兩者為目標。
辨識勒索軟體:必須做出基本的區別
有兩種勒索軟體尤其熱門:
- 鎖定型勒索軟體。這類惡意軟體會封鎖基本電腦功能。例如,您可能會被拒絕存取桌面,同時滑鼠和鍵盤的部分功能被關閉。這讓您可以繼續與包含勒索要求的視窗互動,以便您付款。此外,您將無法操作電腦。但有個好消息:鎖定型惡意軟體通常不會以關鍵檔案為目標;它一般只想將您鎖在外面。因此,您的資料不太可能被完全毀滅。
- 加密型勒索軟體。加密型勒索軟體的目標是加密您的重要資料,例如文件、圖片和影片,但並不會干涉基本電腦功能。這會散播恐慌,因為使用者可以看到自己的檔案,但卻無法存取它們。這類勒索軟體的開發者通常會在勒索要求中加入「如果不在期限前支付贖金,所有檔案都將被刪除」的倒數計時,而且由於許多使用者都沒有意識到在雲端或外部實體儲存裝置保存備份的需求,加密型勒索軟體可能帶來毀滅性的影響。結果,許多受害者只能支付贖金以拿回檔案。
Locky、Petya 等等
現在您已經瞭解勒索軟體是什麼及其兩種主要類型。接下來,您將瞭解一些著名範例,它們能幫助您辨識勒索軟體引發的危險:
Locky
Locky 這種勒索軟體最早是在 2016 年被一群有組織的駭客用於攻擊。Locky 加密了超過 160 種檔案,並藉由帶有受感染附件的假電子郵件散播。使用者落入電子郵件中的陷阱,並在電腦上安裝了這款勒索軟體。這種散播方式稱為網路釣魚,是所謂社會工程的一種形式。Locky 勒索軟體會以設計師、開發者、工程師和測試者常用的檔案類型為目標。
WannaCry
WannaCry 是在 2017 年散播至 150 餘國家/地區的勒索軟體攻擊。它經過設計來利用 Windows 作業系統的安全漏洞,該漏洞由 NSA 建立,並由駭客團體 Shadow Brokers 洩漏出來。WannaCry 在全球影響了 23 萬台電腦。此攻擊影響了英國所有 NHS 醫院中的三分之一,估計導致 9,200 萬英鎊的損失。使用者被鎖在了系統外面,並被要求以比特幣支付贖金。此攻擊暴露了過時系統的問題,因為在攻擊發生時,駭客利用的作業系統漏洞其實早就有修補程式了。WannaCry 造成的全球財務損失約為 40 億美元。
Bad Rabbit
Bad Rabbit 是發生在 2017 年的勒索軟體攻擊,透過所謂的路過式攻擊散播。不安全的網站用於發動此類攻擊。在路過式勒索軟體攻擊中,使用者造訪真正的網站,卻沒發現網站已被駭客侵入。在大多數路過式攻擊中,使用者只要調出已遭到如此侵入的頁面就會中招。但在這個案例中,必須執行包含偽裝惡意軟體的安裝程式才會被感染。這稱為惡意軟體投放器。Bad Rabbit 要求使用者執行假冒的 Adobe Flash 安裝,令其電腦感染惡意軟體。
Ryuk
Ryuk 是在 2018 年 8 月四處散播的一種加密木馬程式,其停用了 Windows 作業系統的復原功能。如果沒有外部備份,這會使得無法恢復加密資料。Ryuk 還加密了網路硬碟。當時影響十分巨大,許多被鎖定的美國組織都支付了歹徒要求的贖金。總損失估計超過 64 萬美元。
Shade/Troldesh
Shade 或 Troldesh 勒索軟體攻擊發生在 2015 年,是透過包含受感染連結或檔案附件的垃圾郵件散播。有趣的是,使用 Troldesh 的攻擊者會透過電子郵件與受害者直接溝通。如果受害者能和他們構築起「良好的關係」,就可以獲得折扣。然而,這種行為更像是一種例外而非規則。
Jigsaw
Jigsaw 是始於 2016 年的勒索軟體攻擊。此攻擊得名於它顯示的圖片:《奪魂鋸》系列電影中的知名人偶。每多拖延一小時不付贖金,Jigsaw 勒索軟體就會刪除更多檔案。使用來自恐怖電影的圖片會對使用者造成額外的壓力。
CryptoLocker
CryptoLocker 勒索軟體最初出現於 2007 年,透過受感染的電子郵件附件散播。此勒索軟體在受感染的電腦上搜尋重要資料並予以加密。估計有 50 萬台電腦受到影響。執法機構與安全公司最後設法控制住了由被挾持的家用電腦組成、用於散播 CryptoLocker 的全球網路。這讓各家機構與公司能在不被罪犯注意到的情況下,攔截透過網路傳送的資料。最終,他們得以設立一個線上入口網站,讓受害者能取得金鑰以解鎖他們的資料。這能讓他們解鎖資料而不必向罪犯支付贖金。
Petya
Petya(請勿與 ExPetr 混淆)是發生於 2016 年的勒索軟體攻擊,並在 2017 年以 GoldenEye 之名捲土重來。這個惡意勒索軟體不會加密特定檔案,而是加密受害者的整個硬碟。此舉是藉由加密主要檔案資料表 (MFT) 完成,讓人無法存取硬碟上的檔案。Petya 勒索軟體會透過包含受感染 Dropbox 連結的假求職信,散播到企業的人力資源部門。
Petya 有個變種叫 Petya 2.0,兩者有些不同的關鍵點。但在如何進行攻擊上,它們對裝置都同樣地致命。
GoldenEye
Petya 在 2017 年改名為 GoldenEye 捲土重來,造成了全球性的勒索軟體感染。GoldenEye 又稱為 WannaCry 的「致命手足」,攻擊了超過 2,000 個目標,包括著名的俄羅斯石油公司和幾間銀行。在一次令人震驚的事態變化中,GoldenEye 迫使車諾比核電廠的人員不得不手動確認輻射量,因為他們被封鎖在了自己的 Windows 電腦之外。
GandCrab
GandCrab 這個惡名昭彰的勒索軟體威脅受害者說要公佈他們的私密習慣。它宣稱自己已侵入受害者的網路攝影機並要求支付贖金。如果沒有支付贖金,它就會將受害者的難堪影片發佈到線上。於 2018 年首次出現後,GandCrab 勒索軟體就一直在發展出各種版本。作為「拒絕勒索軟體」計劃的一部分,安全服務提供者和警察機構開發了勒索軟體解密工具,幫助受害者拿回被 GandCrab 挾持的敏感資料。
B0r0nt0k
B0r0nt0k 這種加密型勒索軟體特別針對 Windows 和基於 Linux 的伺服器。這種有害的勒索軟體會加密 Linux 伺服器上的檔案,並加上副檔名「.rontok」。這種惡意軟體不只會威脅到檔案,還會變更啟動設定、停用功能和應用程式,並新增登錄檔項目、檔案與程式。
Dharma Brrr 勒索軟體
Brrr 是新版的 Dharma 勒索軟體,需要由駭客手動安裝在被侵入的聯網桌面服務上。只要駭客啟動勒索軟體,它就會開始加密能找到的檔案。加密資料會被加上副檔名「.id-[id].[email].brrr」。
FAIR RANSOMWARE 勒索軟體
FAIR RANSOMWARE 這種勒索軟體的目的是加密資料。它會使用強力的演算法將受害者的所有私人文件和檔案加密。被此惡意軟體加密的檔案會被加上副檔名「.FAIR RANSOMWARE」。
MADO 勒索軟體
MADO 勒索軟體是另一種加密型勒索軟體。被此勒索軟體加密的資料會被加上副檔名「.mado」,從此再也無法開啟。
勒索軟體攻擊
正如我們之前提及的那樣,勒索軟體會在各行各業尋找目標。一般來說,它們要求的贖金會在 100 美元到 200 美元之間。不過,有些針對企業的攻擊會勒索多上許多的錢;在攻擊者知道被封鎖的資料會讓該公司遭受重大財務損失的情況下更是如此。因此,網路罪犯可以使用這些手法獲得大量金錢。在以下兩個例子中,網路攻擊的受害者比所使用的勒索軟體類型更為重要。
WordPress 勒索軟體
WordPress 勒索軟體正如其名,是以 WordPress 網站的檔案為目標。就像典型的勒索軟體一樣,它也會向受害者索要贖金。WordPress 網站越受歡迎,就越可能遭到使用勒索軟體的網路罪犯攻擊。
Wolverine 案例
Wolverine Solutions Group(一家醫療保健供應商)是 2018 年 9 月一次勒索軟體攻擊的受害者。惡意軟體加密了該公司的大量檔案,令許多員工無法開啟它們。幸好,取證專家在 10 月 3 日成功解密並復原了資料。然而,在攻擊中有許多患者資料遭到了洩露。姓名、地址、醫療資料和其他個人資訊都有可能已落入網路罪犯之手。
勒索軟體即服務
勒索軟體即服務給了缺乏技術能力的網路罪犯執行勒索軟體攻擊的機會。這種惡意軟體可以供買家使用,意味著其程式設計師可以只冒較低的風險就獲得更高的報酬。
總結
勒索軟體攻擊有許多不同的形式,以及各種型態和規模。攻擊媒介是確定使用哪種勒索軟體的重要因素。為了評估攻擊的規模和程度,我們總是有必要考慮風險,以及有什麼資料可能被刪除或發佈。不論勒索軟體的類型為何,事先備份資料與適當佈署安全軟體都能顯著降低攻擊強度。
推薦產品:
