勒索病毒（英文：Ransomware）進入受害者的電腦，加密檔案，再對受害者提出贖金要求，是近年來相當猖狂的惡意程式。感染速度快，造成大額贖金的勒索病毒案件頻傳。無論是個人還是公司電腦中了勒索病毒，副檔名被改掉，文件資料打不開該怎麼處理？如果想要預防勒索病毒的侵略，又該怎麼做？ 這篇文章裡，嗨雲和你一起更深入認識勒索病毒，了解預防勒索病毒攻擊的5種防護措施 ，及不幸感染勒索病毒時的3種緊急處理方案，教你避開和破解勒索病毒的侵害！

勒索病毒是什麼？

勒索病毒是透過木馬病毒（遠端監控受害電腦的後門程式）或是蠕蟲病毒（利用系統漏洞傳播）的形式入侵，進入後害者電腦後，便會對硬碟裡的資料加密，包含利用鍵盤鍵入的資料、權限憑證、文件存取編輯以及命令的執行等，電腦裡所儲存的所有金鑰、帳號、密碼都能被竊取。加密後，受害者便無法在取存取檔案。

駭客會傳送訊息給受害者，告知贖金金額與交付贖金的指示。通常會要求受害者以被追蹤風險較低的加密貨幣（比特幣為大宗）支付贖金。有些勒索病毒攻擊甚至會用雙重勒索的手法，一方面要求受害者支付贖金換取解密金鑰，一方面威脅將洩漏受害者電腦中的敏感資料，這不管對於個人或是企業來說都是非常頭痛的病毒攻擊。

由於對網路犯罪來說勒索病毒是一種高利潤、低風險的攻擊方式，在駭客之間相當受歡迎，是2022年最常見的惡意程式。根據統計，光是2022年上半，全球就有2億3千6百萬起勒索病毒攻擊。2022年6月，義大利巴勒摩市 (Palermo) 的市府網路更是因為勒索病毒被迫關閉網站，估計約有130多萬市民和遊客受影響。

勒索病毒的種類

自從勒索病毒出現以來，經過不斷變異、更新，對資安的威脅也與日俱增。我們整理出常見的勒索病毒攻擊和手法。

• 常見勒索病毒入侵手段
• 釣魚信件/手機訊息
• 不安全的連結
• 惡意檔案
• 透過漏洞入侵電腦

常見勒索病毒種類

1.Cerber
Cerber 是最知名的勒索病毒家族，甚至推出勒索病毒即服務 (RaaS)，任何人都可以註冊成為合作夥伴並獲得贖金分成。透過這種的方式，Cerber 快速傳播和演化，不到180天就會進化出新的版本，使電腦防毒軟體難以偵測。
最新版本的 Cerber 不僅可以加密檔案，還可以竊取存在 Chrome、Safari、Firefox 等瀏覽器內的密碼，甚至直接偷取受害者的比特幣錢包！
2.Locky
Locky 常透過夾帶附件的垃圾郵件傳遞，受害人下載附件的 Word 或 PPT 等 Microsoft Office 檔案後，惡意郵件副檔JavaScript 侵入。Locky 勒索軟體以偽裝和更換新的網域躲避防毒軟體追蹤。Locky 加密後的文件檔名會變成 .locky ，受害電腦的桌布也會被換為勒索訊息和贖金指示。
3.Jigsaw
Jigsaw 勒索病毒的暱稱為「奪魂鋸」。除了加密使用者的檔案以外，更會隨著時間將檔案批次刪除。因此時間拖得越長，被害者被永久刪除的檔案就越多。以這樣的時間和心理壓力迫使受害者以贖金換取金鑰。有些 Jigsaw 勒索病毒甚至還會定時提高贖金。
4.WannaCry
同時兼具加密勒索病毒和蠕蟲病毒特性的 WannaCry（也稱作 WannaCrypt、WannaCrypt、WanaCrypt0r 2.0、或 Wanna Decryptor）是利用美國國安局的攻擊工具 EternalBlue 針對微軟作業系統的 SMBv1/SMBv2 漏洞進行入侵。
除了透過下載惡意檔案、惡意連結和釣魚郵件以外，WannaCry 也會主動感染，比傳統的勒索病毒更具威脅性。
中勒索病毒的前兆
上面提到的勒索病毒聽起來都很可怕，也會造成經濟或其他無形的損失，預防和破解勒索病毒顯得至關重要。保持警覺心，注意自己的電腦有沒有中勒索病毒，及時發現也可以減低傷害。 中勒索病毒最明顯的前兆就是檔案副檔名被更改、檔案無法開啟以及目錄出現 crypt、.XXX、.locky 或 radman 等副檔名。出現這些時，就表示已經成為勒索病毒的受害者。 通常勒索病毒會鎖定在電腦裡中以下類型的檔案，可以注意這些檔案的副檔名有沒有被更改：

• Microsoft Office：.xlsx、.docx、.pptx （和較舊的版本）
• 影像：.png、.jpeg、.gif、.dwg
• 資料：.sql 與 .ai
• 影片：.avi、.m4a、.mp4
  由於這些檔案通常會有公司企業的重要業務資料，因此被加密之後損失難以估計。

勒索病毒怎麼預防？5大措施教給你

由於勒索病毒的形式和攻擊手段不停更新，最好的防禦辦法就是提升個人和企業的資安防護意識，並採取以下措施：

定期備份檔案

隨時養成備份資料的習慣和做好災難復原的準備。因勒索病毒無法掃描到雲端儲存的檔案和資料，可以保護資料中心免受影響；企業的話，建議使用異地備援！它就像是停電時啟動的備用電源，可立即供電並藉由在另一地點建立伺服器、儲存裝置等設備，進行備份、存放企業重要資料，提供即時運轉的工作機能。嗨雲合作的雲端供應商都有提供備份和災難復原的解決方法！

謹慎上網

不任意打開不明的信件或點擊信中的連結與附件。
不下載非法軟體或不明程式。
不要啟用 Office 文件的巨集，可考慮安裝不支援巨集功能的 Office Viewer 軟體。
不點選不安全的網站連結
使用手機上網時，也有中勒索病毒的風險，也同樣需要謹慎使用網路，不點擊可疑連結、小心釣魚網站或訊息。

更新防毒軟體

安裝防毒軟體是相當基本的防護方式，除了隨時更新電腦及手機防毒軟體之外，網路上的使用者建議架設 WAF（網站應用程式防火牆）來保護網站，透過監測網站傳輸的 HTTP/S 流量，過濾可疑流量並且封鎖，在惡意流量進入網站前擋下，保護網站不被駭客攻擊。嗨雲提供 WAF 服務，保護您的網站與應用程式！

更新程式和作業系統

由於不少勒索病毒利用系統漏洞入侵（如上面提到的 WannaCry），迅速更新程式和作業系統修補漏洞就成為重要的預防措施。從官方網站上的更新目錄下載相關更新軟體，修補程式或作業系統，以減少因漏洞導致被勒索病毒入侵的風險。

使用監控和警示系統

採用監控和警示系統以確保公司或個人電腦安全，並且在偵測到可疑跡象時，即使回應，降低資安風險。嗨雲的合作夥伴們均有提供異常檢測服務和解決辦法，可針對勒索病毒進行防護。

3種感染勒索病毒的緊急處理方法 大部分受駭者被勒索病毒入侵加密之後，幾乎不可能以自行破解救回檔案，且勒索病毒會限期支付贖金，否則銷毀金鑰，讓受駭者再也無法解開檔案。

行政院國家資通安全會報技術服務中心 建議以下處理措施：

立即中斷受駭主機網路連線

一旦注意到了中勒索病毒的前兆，必須立即行動。強迫電腦關機或是立即斷網，減少被加密的檔案的數量。也不要重新開啟主機以免加密程式繼續進行。收到勒索訊息更不要輕易支付贖金，應該立即交由警方處理。
臺灣政府在2021年推出由 TWCERT/CC 創建的勒索軟體防護專區，提供臺灣企業組織使用，不論事前、事中與事後的因應，都能更有著手方向。

尋找專家協助

可以嘗試可信任的專家的解密工具，來破解勒索病毒。有些防毒軟體公司有萬用解密金鑰，可以用來破解較舊的勒索病毒，但並非對所有勒索病毒都有效。除此之外，應妥善保留被駭電腦，讓專業人士進一步分析勒索病毒和環境。
以下有3種勒索病毒的破解方法：

1.奧義智慧在官方英文部落格上，宣布於 GitHub 釋出 Prometheus Decryptor。針對 Prometheus 勒索軟體解密的工具，遭受此勒索軟體的受害者可自行破解加密的檔案。

2.Emsisoft 是 Windows PC 上最受好評的勒索病毒解密軟體
Emsisoft 也有其他免費的專用工具可用於破解各種勒索軟體，例如 PClock、CryptoDefense、CrypBoss、DMA Locker、Xorist、Apocalypse、WannaCryFake、Cyborg 等。

3.Avast 反勒索軟體工具易於安裝和使用，不需要任何特殊設置，只需下載 zip 文件並解壓縮，然後以管理員身份執行應用程式。
Avast 可以掃描磁碟上加密文件可能所在的位置，例如本地或網路驅動程式以及自定義文件夾，並根據已知的文件格式來驗證文件在解密過程中是否成功解密。

重灌電腦

如果太多的重要檔案被勒索病毒加密，而且有備份檔案，可以選擇重灌電腦，並修補漏洞，避免再次感染。

文章來源：https://reurl.cc/jlWVVq
歡迎至嗨雲網站閱讀更多雲端知識消息。