勒索軟體:問與答

勒索軟體的沿革

1986年:由Joseph Popp編寫的第一隻勒索病毒"1989 AIDS Trojan" (又名"PC Cyborg")問世
2005年:當年五月,敲詐型惡意軟體出現
2006年:當年中旬,如Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchiv等的蠕蟲程式開始使用更複雜的RSA加密格式,並且密鑰長度不斷增加
2011年:出現偽冒Windows產品啟用聲明的勒索蠕蟲病毒
2013年:出現基於Stamp.EK漏洞利用工具表層的勒索軟體蠕蟲和Mac OS X作業系統特定的勒索蠕蟲病毒。在這一年的最後四個月中,CryptoLocker的不法牟利大約500萬美元
2015年:多個平台上的多個變種病毒肆虐持續造成重大損失

勒索軟體類型

  • 加密型勒索軟體

它會將個人檔案和資料夾加密(如文件、電子試算表、圖檔和影片等)。

受影響的原始檔案一旦被加密後就會被刪除,使用者通常會在當下無法存取檔案的資料夾路徑中,見到相關付款說明的文字文件。

使用者通常會在試圖開啟某些檔案才發現到這個問題。

部分但不是全部的加密軟體會顯示「螢幕鎖定」:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • 螢幕鎖定型勒索軟體 - WinLocker

它會鎖定電腦螢幕並要求付款。

它呈現一個全螢幕的圖像,並封鎖所有其他視窗。

不會有任何的個人資料被加密。

Polyransom2

  • 主開機紀錄型(MBR)勒索軟體

主開機紀錄(MBR)是硬碟掌管作業系統的啟動功能的磁區。

MBR勒索軟體改變電腦的MBR磁區資料,導致無法正常啟動。

並改成要求贖金的畫面。

Master-Boot.jpg

  • 網頁伺服器加密型勒索軟體

它針對網頁伺服器並加密裡面數個檔案。

已知的內容管理系統(CMS)漏洞常常被利用來將勒索軟體佈署至網頁服務中。

Ransomware encrypting web servers

  • 行動裝置型勒索軟體(Android)

行動設備(大多為Android系統)可透過「網頁掛馬式攻擊」遭受感染。

也可透過偽裝成知名服務(例如Adobe Flash或是防毒軟體相關產品)的假APP而受到感染。

Mobile Ransomware

若遭受攻擊,我應該付贖金嗎?

繳付贖金是最不被建議的選項,主因是這並不是保證可以解決問題的方法。會有很多意外錯誤的狀況,舉例來說,有可能勒索軟體本身有問題,導致即使拿到正確的金鑰,遭加密的檔案也無法復原。

另外,如果繳付了贖金,也只是告訴網路罪犯這隻勒索軟體有效,結果是網路罪犯將持續犯罪活動,並且尋找利用系統弱點的新方法,導致更多受害者裝置遭感染,更多贖金也隨之入袋。

勒索軟體是怎麼進行攻擊的?

典型的勒索軟體攻擊方式通常是透過電郵中含有可執行檔、文件、圖檔等的附件散播病毒,一旦附件被開啟,惡意軟體就會被釋放到使用者的系統裡,網路罪犯也會在網頁上植入惡意程式,當不知情的使用者瀏覽到該頁面,即遭到感染。

這個感染不會立即顯示給使用者看到,惡意軟體會在背地理悄然運作,直到系統或資料鎖定機制佈署完成。部署完成後,對話框出現,告訴使用者資料遭上鎖並藉此勒索贖金,此時透過任何安全措施儲存資料,均為時已晚。

更多資訊詳見以下影片:

誰是勒索軟體的受害者?

任何使用系統的個人或企業都有機會可能成為受害者,勒索軟體是飢不擇食的,而且通常盡可能尋找更多的使用者,以謀取最高的利潤。

勒索軟體攻擊會阻礙商業發展嗎?

是的,因為網路罪犯知道被劫的資料通常對商業活動的延續,具有關鍵機敏性,因此組織會更願意付贖金買回。此外,有時候恢復檔案所花的錢,會比付贖金來的昂貴。

為什麼要找到單一的勒索軟體解決方案這麼困難?

勒索軟體的發展如日中天,目前已知在網路上散播的勒索軟體家族就有50種以上,而且進化速度也十分快速。每種新的變種都會使用更強的加密演算法及新功能,這可不是您可以忽略的事情!

我們難以找到單一解決方案的其中一個原因,是因為加密演算法本身並沒有惡意;它本身是好的數學演算法,也被許多無害程式使用。

第一個加密惡意軟體使用了對稱密鑰加密演算法,使用同一把金鑰來加密及解密,因此被加密的內容通常很容易就被資安公司所破解。然而網路罪犯的技術與時俱進,犯罪份子的技術也與時俱進,他們開始使用非對稱加密演算法,這種演算法使用兩把不同的金鑰,公鑰用來加密檔案,而私鑰則用來解密檔案。

CryptoLocker木馬是最知名的勒索軟體之一,它也使用了公開金鑰加密演算法(非對稱加密演算法的一種),每臺感染此勒索軟體的電腦都會連線回命令與控制伺服器以下載公鑰,而私鑰只有撰寫CryptoLocker的犯罪份子才有存取權限。通常犯罪份子會讓受害者只有少於72小時的時間可以付贖金,超出這個時間後就會永久將私鑰刪除,任何被加密的檔案將無法解密。

因此,預防勝於治療才是更重要的,大部分的防毒軟體包含一個功能,可以在感染的早期就辨識出勒索軟體,如此一來可以避免損失任何敏感資料,因此請務必確認防毒軟體已啟用此功能。

還有什麼其他的機會可以幫助受害者取回他們的檔案呢?

「No More Ransom」計畫才剛起步,但我們持續與其他資安公司及執法機關合作,以盡可能多找出金鑰。如果您有任何您認為有幫助的資訊,請與我們分享。

解碼警長是什麼,我又該如何使用它?

解密警長是設計用來幫助我們辨識感染您設備的勒索軟體類型的工具。這將使我們能夠檢查是否有可用的解決方案。請參考以下影片來了解它如何運作:

您的解密工具起不了作用,即使確定使用的是正確的工具 - 為什麼?

這是可能的。有時我們只得到一小部分金鑰,所以請繼續確認網站資訊。

被勒索軟體加密的檔案何時有可能可以被解密?

在以下的案例是有可能的:

  • 某個勒索軟體的製造者在軟體實作上出現失誤,導致加密可以被破解。勒索軟體「Petya」「CryptXXX」就是這種情況。
  • 勒索軟體的製造者對於自己的行為感到抱歉並發布金鑰或主密鑰,勒索軟體「TeslaCrypt」就是如此。
  • 執法機關(構)掌握了主控伺服器,並分享其中的金鑰。這個例子就是勒索軟體CoinVault


有時支付贖金也會有效,但是不保證付款後可以使你的檔案能確實順利地解密。另外,你也因此某種程度支持了這種犯罪商業模式,而這會是致使越來越多的人感染勒索軟體的部分原因。

為什麼決定啟動這項「No More Ransom」計畫?

無可隱瞞的,近幾年來勒索軟體加密使用者系統中的資料,並以此要求贖金,已經成為一大資安問題。這個問題已經氾濫到可以輕易被稱之為流行病的程度。受到勒索軟體攻擊的用戶數量正在飆升,2015年4月至2016年3月間,受到勒索軟體攻擊的用戶數量達到了117.8萬人次,比2014到2015年同期增長了5.5倍。

警方無法獨力打擊網路犯罪和勒索軟體,而如果沒有執法機構的支持,安全研究人員也無法做到這一點。打擊勒索軟體的責任需要警方、司法部門、歐洲刑警組織和資訊安全技術公司共同承擔、共同努力。我們會攜手合作,盡全力打擊罪犯的勒索取財計畫,並且在無須支付大額贖金的前提下,將檔案還給合法使用者。

我國有沒有類似的措施?

「No More Ransom」是一個展現公私部門合作價值,針對網路犯罪認真採取行動的國際性計畫。我們的合作超越了國界限制,其宗旨主在分享知識和教育世界各地的使用者如何防範勒索軟體的攻擊。我們相信,這終將使修復全球受害者所受到傷害的工作,得到支援。透過復原他們的系統存取,我們藉由讓使用者知道他們可以採取行動,避免用贖金獎勵網路犯罪,增進使用者的能力。

在初始階段,網站入口包含四種針對不同類型惡意軟體的解密工具。網站上提供的所有工具都是免費的,任何人受到網站所提及之網路威脅都可以取而用之 - 無論他們位於世界任何角落。