什麼是勒索軟體?| 勒索軟體含義

勒索軟體是一種惡意軟體,會鎖定電腦檔案,直到受害者支付贖金後方才解除鎖定。

學習目標

閱讀本文後,您將能夠:

  • 定義勒索軟體
  • 說明勒索軟體的運作方式
  • 說明勒索軟體預防技術
  • 列出知名的勒索軟體攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是勒索軟體?

什麼是勒索軟體?- 勒索軟體會感染電腦並加密檔案

勒索軟體是一種惡意軟體,它會鎖定檔案並持有它們以要求贖金。勒索軟體可以迅速傳播到整個網路,在某些情況下,感染會傳播到屬於不同組織的多個網路。只有當受害者支付贖金後,控制勒索軟體的個人或團體才會解鎖檔案。

想像一下,Chuck 偷了 Alice 的筆記型電腦,把它鎖在他的保險箱裡,並告訴她只有付給他 200 美元才能拿回它。這本質上就是勒索軟體團體的運作方式——只是他們沒有將電腦帶走並鎖住,而是以數位方式進行。

防止勒索軟體感染的策略包括掃描所有檔案和網路流量是否存在惡意程式碼、篩選 DNS 查詢、使用瀏覽器隔離防止攻擊,以及培訓使用者瞭解資訊安全最佳做法。雖然沒有任何勒索軟體防護策略是萬無一失的,但維護所有資料的備份可協助企業更快速地從勒索軟體攻擊中復原。

報告
近期 DDoS 勒索攻擊呈上升趨勢
文章
閱讀 2023 年第四季 DDoS 威脅情勢報告

勒索軟體如何運作?

典型的勒索軟體攻擊遵循下列基本步驟:

  1. 勒索軟體在裝置或網路上建立立足點。
  2. 加密它找到的任何檔案。
  3. 顯示一條要求付款以解密檔案的訊息。

加密是對資料進行加擾的過程,以便只有擁有加密金鑰的各方才能讀取資料,他們可以使用該金鑰來逆轉加密。加密的逆轉稱為解密。

加密一直被用於合法目的,是網際網路上安全性和隱私性的一個重要元素。但是,勒索軟體團體惡意使用加密,阻止任何人開啟和使用加密的檔案,包括檔案的合法擁有者。

想像一下,Chuck 沒有偷走 Alice 的筆記型電腦,而是將她所有的檔案翻譯成她無法閱讀的語言。這類似於勒索軟體環境中的加密——Alice 仍然可以存取這些檔案,但她無法讀取或使用它們。從本質上講,在她找到翻譯它們的方法之前,這些檔案等同於不存在。

但與翻譯語言不同,如果沒有加密金鑰,解密資料幾乎是不可能的。攻擊方將金鑰保留在自己手中,這就是他們要求付款所需的籌碼。

贖金要求的常見特徵

通常,贖金要求會有時間限制:在特定截止日期之前付款,否則檔案將保持永久加密。隨著時間的推移,價格可能會上漲。

勒索軟體團體希望受害者的付款難以追溯到他們。出於這個原因,這些團體經常要求透過加密貨幣或其他執法部門難以追蹤的方式付款。

支付贖金後,攻擊者要么遠端解密檔案,要么向受害者傳送解密金鑰。一般來講,在支付贖金後,攻擊者幾乎總是會解密已加密資料或提供金鑰。遵守他們解鎖資料的承諾符合攻擊者的利益。如果沒有這一步,未來的勒索軟體受害者將停止支付贖金,因為他們知道這將無濟於事,攻擊者也無法再得到錢。

註冊
透過任何 Cloudflare 方案獲取安全性和速度

勒索軟體有哪些主要類型?

  • 「Crypto」或加密勒索軟體:這是最常見的類型。它的功能如上所述。
  • Locker 勒索軟體:這種類型的勒索軟體不會加密資料,而是將使用者鎖定在其裝置之外。
  • Doxware:Doxware 會複製敏感的個人資料,並威脅稱如果受害者不支付費用要就將其曝光。Doxware 通常不對資料進行加密。

一種相關形式的惡意軟體是「恐嚇軟體」。恐嚇軟體向使用者顯示一條訊息,聲稱他們的裝置感染了惡意軟體並要求付費才會將其移除。當安裝在裝置上時,恐嚇軟體可能會持續存在且難以移除。儘管它可能會鎖定受害者的電腦,但它通常不會像勒索軟體那樣持有檔案和資料進行勒索。

勒索軟體如何進入裝置或網路?

攻擊者使用多種方法傳播勒索軟體,但最常見的是,他們使用一種稱為「特洛伊木馬」的惡意軟體。木馬是偽裝成其他東西的惡意檔案(就像神話中的特洛伊木馬偽裝成希臘軍隊一樣)。需要使用者執行木馬,它們才會運作,但勒索軟體團體可以透過多種方式誘使他們這樣做:

  • 社交工程通常,惡意檔案會偽裝成無害的電子郵件附件,勒索軟體團伙會傳送有針對性的電子郵件,使收件人認為他們需要開啟或下載惡意附件。
  • 路過式下載。路過式下載是在開啟網頁時自動導致檔案下載。路過式下載發生在受感染的網站或由攻擊者控制的網站上。
  • 感染使用者下載和安裝的看似合法的應用程式。攻擊者可能會入侵使用者信任的應用程式,導致開啟該應用程式也會安裝惡意程式碼。
  • 建立實際上惡意的虛假應用程式。有時,攻擊者甚至會將其惡意程式碼偽裝成反惡意軟體。

眾所周知,攻擊者會利用漏洞來建立傳播到整個網路(甚至是多個網路)的蠕蟲,而無需使用者採取任何動作。在 2017 年美國國家安全局開發的漏洞利用被洩露給公眾後,一種稱為 WannaCry 的勒索軟體蠕蟲利用該漏洞幾乎同時感染了超過 200,000 台電腦。

無論使用哪種方法,目標都是將惡意檔案(也稱為惡意負載)放到裝置或網路上。一旦執行,惡意負載就會加密受感染系統上的檔案。

在這樣做之前,它可能會與攻擊者的命令和控制 (C&C) 伺服器通訊以接收指令。有時,攻擊者會等待合適的時機傳送命令來加密檔案,這樣勒索軟體就可以在裝置或網路上保持不活動狀態,並且數天、數週甚至數月不被偵測到。

勒索軟體攻擊的成本

一份報告稱,勒索軟體受害者支付的平均價格超過 300,000 美元。另一份報告發現,包含勒索成本、業務損失和其他因素在內的勒索軟體攻擊平均總成本接近 200 萬美元

2020 年,一個訊息來源估計,在過去的 12 個月裡,勒索軟體造成的經濟損失超過了 10 億美元,儘管實際成本可能要高得多,因為考慮到損失的服務,以及受害者可能在沒有公開宣布的情況下支付了贖金。

犯罪分子進行勒索軟體攻擊有巨大的經濟動機,因此勒索軟體可能仍然是一個重要的安全問題。

據估計,95% 支付贖金的組織確實拿回了他們的資料。然而,支付贖金可能是一個有爭議的決定。這樣做涉及到向犯罪分子提供資金,使他們能夠進一步資助其犯罪企業。

移除勒索軟體

在某些情況下,有可能在不支付贖金的情況下從裝置中移除勒索軟體。受害者可以嘗試執行以下步驟:

  1. 將受感染的電腦與所有網路中斷連線,將其隔離開來。
  2. 使用反惡意程式碼軟體掃描並移除惡意檔案。
  3. 從備份還原檔案或使用解密工具解密檔案。

然而,這些步驟在實踐中往往難以執行,尤其是當整個網路或資料中心都已被感染時,隔離受感染裝置為時已晚。許多類型的勒索軟體是持久的,可以自我複製或以其他方式抵抗移除。如今,許多勒索軟體組織都使用進階加密形式,如果沒有金鑰,幾乎不可能進行解密。

防止勒索軟體

由於勒索軟體移除極其困難,因此更好的方法是先嘗試預防勒索軟體感染。以下是一些有用的策略:

  • 反惡意程式碼可以掃描所有檔案以確保它們不是惡意的且不包含勒索軟體(這無法偵測出勒索軟體的所有種類)。
  • DNS 篩選可以阻止使用者載入不安全的網站,並可能阻止惡意負載與攻擊者的 C&C 伺服器進行通訊。
  • 瀏覽器隔離可以關閉數種可能的攻擊載體,包括路過式下載。
  • 電子郵件安全性篩選器可以標記可疑的電子郵件和附件。
  • IT 團隊可以限制裝置上可安裝的應用程式類型,以防止使用者意外安裝惡意程式碼。
  • 安全團隊可以訓練使用者識別可疑電子郵件,避免點擊不受信任的連結和載入不安全的網站,並只安裝安全和受信任的應用程式。

即使使用這些方法,也無法 100% 預防勒索軟體,就像無法 100% 預防任何威脅一樣。

企業可以採取的最重要步驟是備份他們的資料,這樣如果發生感染,他們可以切換到備份,而不必支付贖金。

有哪些知名的勒索軟體攻擊?

  • CryptoLocker(2013 年):使用 CryptoLocker 特洛伊木馬的勒索軟體攻擊發生在 2013 年 9 月至 2014 年 5 月,並感染了數十萬個系統。CryptoLocker 主要透過惡意電子郵件附件傳播。據估計,攻擊者在攻擊被關閉之前賺取了大約 300 萬美元。
  • WannaCry(2017 年):WannaCry 是一種勒索軟體蠕蟲,它利用名為 EternalBlue 的漏洞利用程序在電腦之間傳播;最初,這個漏洞是由 NSA 開發的。2017 年 5 月 12 日,WannaCry 感染了 150 個國家的超過 200,000 台電腦,直到一名安全研究人員發現了如何關閉該惡意程式碼。美國和英國後來確定攻擊來自北韓。
  • NotPetya(2017 年):NotPetya 是早期惡意軟體 Petya 的變種。NotPetya 感染了整個歐洲和美國的組織,俄羅斯和烏克蘭受影響尤為嚴重。
  • Ryuk(2018 年):Ryuk 勒索軟體主要用於針對大型企業。它的營運者向受害者索要巨額贖金。FBI 估計,Ryuk 背後的攻擊者在 2018 年和 2019 年獲得了超過 6100 萬美元的贖金。截至 2021 年,Ryuk 仍在使用中。
  • Colonial Pipeline 攻擊(2021 年):美國最大的燃料管道在 2021 年 5 月被勒索軟體攻擊而導致關閉。聯邦調查局聲稱,一個名為 DarkSide 的勒索軟體團伙是這次攻擊的幕後黑手。

什麼是 DDoS 勒索攻擊?

與勒索軟體攻擊類似,DDoS 勒索攻擊本質上是一種勒索嘗試。攻擊者威脅要對一個網站或網路進行 DDoS 攻擊,只有收到付款才不發動攻擊。在某些情況下,攻擊者可能先開始 DDoS 攻擊,然後要求付款。DDoS 勒索攻擊可以由 DDoS 緩解提供者(如 Cloudflare)阻止。

閱讀有關勒索型 DDoS 的詳細資訊

Cloudflare 是否可協助防止勒索軟體攻擊?

Cloudflare 產品關閉了幾個可能導致勒索軟體感染的威脅媒介。Cloudflare DNS 篩選可封鎖不安全的網站。Cloudflare 瀏覽器隔離可防止路過式下載和其他基於瀏覽器的攻擊。最後,Zero Trust 架構有助於防止勒索軟體在網路中傳播。