勒索病毒是什么？

勒索病毒是什么？

勒索病毒的英文为Ransomware，是由“赎金（Ransom）”和“恶意软件（Malware）”组合而成，其意图昭然若揭：就是要求受害者以赎金交换被挟持的东西，而在勒索病毒攻击中，被挟持的东西即是具有价值的数据。勒索病毒的变种与分支众多，Bad Rabbit、Cryptolocker、Lockbit、Locky、Ryuk、WannaCry都是让人闻之色变的勒索软件。

勒索病毒被植入目标电脑或设备之后，便会自动开始将硬盘里的数据加密，需要密钥才可以解开，而没有密钥的受害者无法存取文件。黑客随即寄给受害者勒索信件或发送勒索信息，说明受害者支付赎金才可获得密钥，并列出赎金金额及指定付款方式。有些黑客团体甚至会下达最后通牒，若不在特定时间内付款，赎金将会增加，或是“双重勒索（Double Extortion）”，威胁要将受害者的机密数据外流或售出，胁迫受害者付款。

由于几乎所有有连上网的设备都可以成为勒索病毒的受害者，潜在攻击目标可以说是不计其数。勒索软件黑客组织赚钱容易，被执法单位查到的风险又低，同时随着RaaS（Ransomware-as-a-Service，勒索软件即服务）逐渐兴起，勒索病毒工具可以轻松租借，执行攻击的技术门槛降低。综合以上所述，勒索病毒攻击深受网络罪犯喜爱。

至于RaaS又是如何运作，和一般勒索病毒攻击有何不同？下一段会再详细介绍新兴的RaaS模式。

5 种勒索软件的分类

依据对受害目标所造成的伤害或运作模式，勒索软件可以分为以下5大类：加密型勒索病毒（Crypto Ransomware）、屏幕封锁型勒索病毒（Screen Lockers）、隐私挟持勒索病毒（Leakware／Doxware）、恐吓型勒索病毒（Scareware），以及RaaS。

一、加密型勒索病毒 Crypto Ransomware／Encrypting Ransomware／Encryptors

植入目标电脑后，加密型勒索病毒通过先进的加密算法将电脑中的文件一一上锁，只能通过黑客所持有的密钥解锁。受害者还是可以操作电脑，只是无法打开文件。

二、螢幕封锁型勒索病毒 Screen Lockers

屏幕封锁型勒索病毒与加密型勒索病毒不同之处，在于感染电脑后，封锁型勒索病毒会将屏幕封锁，受害者便无法操作电脑。另一种封锁型勒索病毒通过更换设备密码或是PIN码，让受害者同样不能使用设备。

三、隐私挟持勒索病毒 Leakware／Doxware

隐私挟持勒索病毒威胁散播感染电脑上的机密数据，向受害者要求赎金。有些隐私挟持勒索病毒会伪装成执法人员，声称发现受害者电脑上有非法行为，但可以罚款代替入监坐牢。

四、恐吓软件 Scareware

恐吓软件常用于社交工程诈骗中，借以让目标感到心生恐惧或焦虑，因而依照指令行动。例如，恐吓软件可能告知受害者电脑感染了恶意软件，需要购买防毒软件才能解决，再提供假造的防毒软件购买链接诈骗；或假装电脑内的文件已遭加密，要求受害者支付赎金换取密钥等等。

五、勒索病毒即服务 RaaS

除了上述4类以外，近年来也逐渐兴盛的勒索软件运作模式称作RaaS。把勒索软件工具和黑客行为变成付款即可利用的服务，如同在线视频串流服务一般容易使用。提供黑客服务的团体或个人从部署勒索软件到收款及恢复后害者权限等，所有过程一手包办，没有任何技术背景的人，也可以借着RaaS进行勒索病毒攻击，获取经济利益。

【想进一步了解不同的恶意软件，可以参考《惡意軟體有哪些》文章。】

怎么会中「勒索病毒」？5种中毒原因

在勒索病毒开始肆虐，加密电脑和文件之前，首先需要感染目标。也就是说，黑客需要将病毒本身植入目标电脑中。常见勒索病毒感染的途径包括：

• 网络钓鱼（Phishing）／鱼叉式网络钓鱼（Spear Phishing）：社交工程中的钓鱼和鱼叉式钓鱼，通过发送电子邮件或是手机短信，设下骗局威胁利诱目标点击内文中的链接。比方说，警告目标在某网站的账号被盗，或是目标中了大奖，再将其引导至伪造的网站，骗取机密数据或植入恶意程序。

• 零日攻击（Zero-Day Attacks）：零日攻击针对软件、硬件和固件中开发人员尚未修补的漏洞，根据系统弱点，设计出专属的网络攻击计划，手法和形式多样。例如2023年有黑客组织利用微软的通用记录档系统（Common Log File System，CLFS）驱动程序中的权限提升漏洞（漏洞编号CVE-2023-28252），散播勒索病毒Nokoyawa。
• 路过式下载（Drive-by Download）：路过式下载，也叫隐藏式下载、偷渡下载、强迫下载，顾名思义就是黑客利用浏览器、应用程序或系统的漏洞，在用户不知情的情况下，将恶意程序下载到电脑或设备上。
• 可携带设备：黑客只要事先将USB硬盘和外接硬盘等可携带设备感染勒索病毒，即可拿来感染其他电脑或网络系统。受害者只要在不知情的情况下将其连接上自己的设备，勒索病毒就会开始运作。
• 公共Wi-Fi：餐厅、机场、咖啡厅、购物中心等场所提供的Wi-Fi虽然便利，但可能因未加密而沦为黑客散播勒索病毒的工具。除此之外，黑客也可能设立假的Wi-Fi热点，诱使不知情的用户连上，再感染其电脑和设备。

勒索病毒一旦入侵电脑或是设备后，便会开始执行恶意代码，寻找电脑上较有价值的文件加密。勒索软件种类繁多，亦有多样变种。而依据病毒的设计方式和黑客的目标，各别有不同的加密流程以及针对不同的文件类型加密。一般来说，勒索软件主要针对以下格式的文件加密：

• 文件文件：扩展名为.docx、.xlsx、.pptx、.pdf等文件
• 图像文件：扩展名为.jpg、.jpeg、.png、.bmp、.gif等文件
• 音频文件：扩展名为.mp3、.wav、.flac等文件
• 视频文件：扩展名为.mp4、.mov、.avi、.wmv、.flv等文件
• 数据库文件：扩展名为.db、.accdb、.nsf、.fp7等文件
• 压缩文件：扩展名为.zip、.rar等文件
• 源代码文件：扩展名为.js、.htm、.css等文件
• 虚拟机文件：扩展名为.vmx、.vmxf、.vmdk等文件
• 备份文件：扩展名为.bak、.tmp、.gho等文件

我的电脑里有勒索软件吗？中毒前兆与解决方案

除了收到勒索信件和信息以外，还有什么方式能知道自己的电脑受到勒索病毒的威胁呢？其实还是有一些征兆可以协助我们及早发现勒索软件。

一、中勒索病毒的前兆

• 电脑运行速度降低：勒索病毒加密文件需要占用电脑的运算资源，排挤其他工作。因此如果发现电脑不明原因速度变慢，那可能是感染了恶意软件。
• 防毒软件自行关闭：如果安装了防毒软件，却发现防毒程序自行关闭或无法启动，那也有可能是被勒索病毒感染。
• 文件被锁定或是显示未知文件格式：尝试存取文件时，若文件打不开，显示奇怪的格式或扩展名，文件名称被修改，或是无法正常读取，那可能是文件已被加密。
• 弹出警告窗口：电脑显示警告窗口，通知用户已被勒索病毒感染，文件已被加密，或是勒索信件则是确定中毒的征兆。
• 网页异常：上网时若发现主页被修改或是浏览器被重定向至不明网址，那可能是中了勒索病毒或是其他恶意软件。

二、中勒索病毒怎么办？

注意到电脑有上述中勒索病毒的前兆，发现真的感染了的话，该怎么办呢？以下提供勒索软件中毒的紧急处理办法：

• 隔离中毒装置：中断以太和无线网络连接、拔除外接装置（如移动硬盘），并关闭自动维护任务，让感染电脑的病毒无法再散播出去。如果文件还在加密中，直接将电脑强制关机，中断加密行为。
• 拍下勒索信息：如果已经出现勒索信件或信息，用另外的装置将勒索信息拍下来，以便后续厘清病毒相关信息，和协助有关单位调查网络犯罪活动。
• 解密及移除勒索病毒：判断电脑上的勒索病毒种类与分支，了解其特性，对于解密和移除病毒大有帮助。在知道勒索病毒属于什么分支或变种后，可尝试搜索相对应的解密工具，部分防毒软件亦有提供勒索病毒解密工具。
• 寻求专家帮助：如果无法判断病毒种类，建议在隔离中毒装置后，直接寻求资安专家协助。
• 报警：使用勒索病毒，实属犯罪活动的一种，建议报警并通知有关单位。保留受感染的主机，让调查单位进行进一步分析。
• 考虑支付赎金：依照黑客要求支付赎金，无异于鼓励网络罪犯，是处理勒索病毒的下下策。而如果被加密的文件极度重要，且没有备份文件，在试过其他所有方法后，也只能考虑以赎金换密钥。但仍建议支付赎金之前，与执法单位和资安专家多方详细讨论。

该如何预防「勒索病毒」的威胁？

勒索病毒处理不易，对企业和个人都可造成严重损失，因此事先做好防护措施的重要性自是不言而喻。以下整理了5大预防勒索软件威胁的具体做法：

• 避免点击可疑链接：由于勒索病毒多通过网络钓鱼的方式传播，提高资安意识、对于链接和浏览的网站保持警觉、不随意点击，可降低电脑感染勒索软件的机会。
• 即时更新软硬件：勒索病毒另一种常见的传播途径是利用系统本身的漏洞。在软件、硬件、固件供应商释出修补内容时，立即下载更新，以降低资安漏洞被利用的机会。
• 使用防毒软件并定期更新：防毒软件可监控电脑和装置中的活动，及早发现异常，并及时处理病毒。定期更新防毒软件，除了修补漏洞以外，也更新防毒软件内的数据库，强化对新型勒索病毒的防护能力。
• 落实数据备份：定期备份电脑和系统中的重要文件，规划妥善的灾难恢复机制，如此一来，即使中勒索病毒，也可以减轻失去重要数据的损失。
• 加密数据：双重勒索病毒黑客组织除了将受害电脑和系统上的文件加密以外，也会以双重勒索方式，威胁外泄敏感数据，迫使受害者付款。事先将重要数据加密，同样可减轻受勒索病毒时的损害。

针对勒索病毒，晟崴科技提供端点安全防护系统、MDR、资安弱点通报机制、弱点扫描、滲透测试等资安防护产品，可以协助企业找出可被利用的系统漏洞，及监控装置内异常的活动，及时通报处理，第一时间中断勒索病毒攻击。除此之外，晟崴科技也有文件加密系统，保障敏感数据的安全性。

欢迎联系晟崴科技