前言
勒索軟體,又稱勒索病毒,是一種特殊的惡意軟體,常被歸類為「阻斷存取式攻擊」(denial-of-access attack)。與其他病毒不同的是,勒索軟體的攻擊手法和感染方式更加特殊。其中,一種勒索軟體僅會鎖定受害者的電腦,使其無法使用;另一種則會加密受害者硬碟上的檔案,使其無法存取。無論是哪種形式,勒索軟體都會要求受害者支付贖金,以恢復對電腦的控制權或獲得解密金鑰,解鎖被加密的檔案。
勒索軟體通常以木馬病毒的形式傳播,偽裝成無害的檔案,經常透過社交工程手段,如假冒普通電子郵件,欺騙受害者點擊鏈接下載。此外,它也可能像其他蠕蟲病毒一樣,利用軟體漏洞在聯網的電腦之間傳播。
最初,勒索病毒主要在俄羅斯流行,但隨著時間推移,受害者遍及全球。根據網路安全公司McAfee在2013年6月發布的數據,該公司在2013年第一季度就收集了超過25萬種不同的勒索病毒樣本,這一數字是2012年同期的兩倍以上。
隨著CryptoLocker的出現,加密型勒索軟體開始進行大規模攻擊,該病毒在被當局瓦解之前,估計已獲得約三百萬美元的贖金。另一種勒索軟體CryptoWall則被美國聯邦調查局估計,截至2015年6月,已收取超過一百八十萬美元的贖金。
攻擊方式
勒索軟體通常以木馬病毒的形式傳播,例如通過下載夾帶的文件或利用網絡系統的漏洞進入受害者的電腦。一旦進入系統,勒索軟體會立即執行,或者從網絡下載其執行檔案,隨後開始恐嚇受害者。恐嚇的內容因病毒而異,有些會假借執法機關的名義,聲稱受害者的電腦涉及非法活動,如瀏覽色情內容、盜版媒體或使用非法作業系統等。
某些勒索軟體會鎖定作業系統,直到受害者支付贖金才解鎖。這些勒索軟體可能採用多種手段進行威脅,包括將Windows的使用者介面綁定為病毒程式,甚至修改磁碟的主啓動磁區或硬碟分割表等。最嚴重的一類勒索軟體會加密受害者的文件,使用多種加密方法使其無法被使用。通常,受害者只有支付贖金才能獲得解密金鑰,解鎖這些文件。
獲取贖金是這類病毒的最終目標。為了避免被執法機關發現,病毒開發者會使用匿名的支付方式。常見的匿名支付途徑包括銀行匯款、簡訊小額付款、線上虛擬貨幣(如Ukash、Paysafecard),以及數字貨幣如比特幣等。
目前的解決方式
如同其他形式的惡意軟體一樣,安全軟體不一定能及時偵測到勒索軟體的實體數據,尤其是加密軟體。在加密過程開始或完成後,才可能被發現,對於未知的病毒尤其如此。如果攻擊處於早期階段,尚未成功加密檔案,此時強制移除勒索軟體(如拔除電源等物理措施)可能能夠避免進一步的資料加密,並且有機會搶救部分數據。
安全專家建議採取一些預防措施來應對勒索軟體,例如使用安全軟體來阻止已知的勒索軟體執行,或設置系統以防止這類病毒運行。此外,保持離線的資料備份也至關重要,因為某些勒索軟體會加密連接到電腦的備份文件。對於非加密型的勒索軟體,可以通過專家協助或使用現有的安全軟體進行移除。
儘管勒索軟體的威脅難以完全消除,IT業界推崇的「多層次防禦策略」是一個有效的預防方法。這種策略強調部署多種獨立且互相補充的安全措施,以建立堅固的防護體系。每一層安全措施都與其他層次互補,使得威脅難以突破。例如,一個安全策略可能包括以下五個層次:
參考資料