勒索軟體(Ransomware)是一種比較特別的惡意軟體,它被歸為在阻斷存取式攻擊的一部分,運作方式簡單但同時破壞力也十分強大。
透過對系統檔案進行非對稱式加密(Asymmetric cryptography),要求受害者在時間內支付一定的比特幣贖金來贖回自己的檔案。由於非對稱式加密的運作方式,受害者並沒有其他方法可以得到私鑰來解鎖檔案,往往只能選擇交付贖金或是放棄救回檔案。
散播途徑通常依靠特洛伊木馬來散播偽裝自己並誘騙受害者執行檔案,也可以透過網路漏洞的方式來入侵電腦。
現在已知最早的勒索軟體原型來自於1989年的「AIDS Trojan」,它會要求受害者繳交198美元的贖金給PC Cyborg Corporation以解除鎖定的檔案。但由於當時這款勒索軟體的加密方式採取的是私鑰加密,這種加密方式會把私鑰放在程式碼之中,使得這個病毒無法有效傳播並很快就被破解。
在之後勒索軟體逐漸開始活躍起來。於2005年誕生的Gpcode是第一個採取RAS加密的勒索軟體,它會複製用戶原有的檔案並進行加密,並把原檔案移除。雖然密鑰的長度較短仍舊可以破解,但破解的難度也以肉眼可見的程度上升。在此之後還有Gpcode的變種如2006年的Gpcode.AG和2008年的Gpcode.AK,RAS加密的密鑰長度也來到了660 bytes和1024 bytes。
CryptoLocker在2013年活躍並將勒索病毒帶到了新的進程。同樣與前面的Gpcode採取RAS加密且密鑰長度已經來到了2048 bytes,同時繳交贖金的方式也變成了這時候逐漸流行的比特幣(Bitcoin)虛擬貨幣。搭配上虛擬貨幣的難以追蹤性,讓不管加密還是追查源頭兇手的工作都變得異常困難。
在2017年的WannaCry勒索病毒的爆發對於大家來說可能比較耳熟能詳。利用Ras加密並利用了永恆之藍(Eternal Blue)的漏洞來大肆傳播。
根據Microsoft的分類,勒索病毒主要分成兩種類型分別是加密勒索軟體和非加密勒索軟體:
加密勒索軟體
透過將受害者的敏感性資料或檔案進行加密,在支付贖金後才能夠進行存取。但這並無法保證攻擊者會將控制權或是加密的金鑰交出。
非加密勒索軟體
受害者會被鎖在裝置之外無法登入,螢幕上會顯示勒索訊息要求支付贖金以取回存取權。由於這種勒索軟體並不參與加密一事,拿回存取權後檔案都會被保留下來。
參考資料