勒索軟體是一種惡意軟體,會鎖定電腦檔案,直到受害者支付贖金後方才解除鎖定。
閱讀本文後,您將能夠:
複製文章連結
勒索軟體是一種惡意軟體,它會鎖定檔案並持有它們以要求贖金。勒索軟體可以迅速傳播到整個網路,在某些情況下,感染會傳播到屬於不同組織的多個網路。只有當受害者支付贖金後,控制勒索軟體的個人或團體才會解鎖檔案。
想像一下,Chuck 偷了 Alice 的筆記型電腦,把它鎖在他的保險箱裡,並告訴她只有付給他 200 美元才能拿回它。這本質上就是勒索軟體團體的運作方式——只是他們沒有將電腦帶走並鎖住,而是以數位方式進行。
防止勒索軟體感染的策略包括掃描所有檔案和網路流量是否存在惡意程式碼、篩選 DNS 查詢、使用瀏覽器隔離防止攻擊,以及培訓使用者瞭解資訊安全最佳做法。雖然沒有任何勒索軟體防護策略是萬無一失的,但維護所有資料的備份可協助企業更快速地從勒索軟體攻擊中復原。
典型的勒索軟體攻擊遵循下列基本步驟:
加密是對資料進行加擾的過程,以便只有擁有加密金鑰的各方才能讀取資料,他們可以使用該金鑰來逆轉加密。加密的逆轉稱為解密。
加密一直被用於合法目的,是網際網路上安全性和隱私性的一個重要元素。但是,勒索軟體團體惡意使用加密,阻止任何人開啟和使用加密的檔案,包括檔案的合法擁有者。
想像一下,Chuck 沒有偷走 Alice 的筆記型電腦,而是將她所有的檔案翻譯成她無法閱讀的語言。這類似於勒索軟體環境中的加密——Alice 仍然可以存取這些檔案,但她無法讀取或使用它們。從本質上講,在她找到翻譯它們的方法之前,這些檔案等同於不存在。
但與翻譯語言不同,如果沒有加密金鑰,解密資料幾乎是不可能的。攻擊方將金鑰保留在自己手中,這就是他們要求付款所需的籌碼。
通常,贖金要求會有時間限制:在特定截止日期之前付款,否則檔案將保持永久加密。隨著時間的推移,價格可能會上漲。
勒索軟體團體希望受害者的付款難以追溯到他們。出於這個原因,這些團體經常要求透過加密貨幣或其他執法部門難以追蹤的方式付款。
支付贖金後,攻擊者要么遠端解密檔案,要么向受害者傳送解密金鑰。一般來講,在支付贖金後,攻擊者幾乎總是會解密已加密資料或提供金鑰。遵守他們解鎖資料的承諾符合攻擊者的利益。如果沒有這一步,未來的勒索軟體受害者將停止支付贖金,因為他們知道這將無濟於事,攻擊者也無法再得到錢。
一種相關形式的惡意軟體是「恐嚇軟體」。恐嚇軟體向使用者顯示一條訊息,聲稱他們的裝置感染了惡意軟體並要求付費才會將其移除。當安裝在裝置上時,恐嚇軟體可能會持續存在且難以移除。儘管它可能會鎖定受害者的電腦,但它通常不會像勒索軟體那樣持有檔案和資料進行勒索。
攻擊者使用多種方法傳播勒索軟體,但最常見的是,他們使用一種稱為「特洛伊木馬」的惡意軟體。木馬是偽裝成其他東西的惡意檔案(就像神話中的特洛伊木馬偽裝成希臘軍隊一樣)。需要使用者執行木馬,它們才會運作,但勒索軟體團體可以透過多種方式誘使他們這樣做:
眾所周知,攻擊者會利用漏洞來建立傳播到整個網路(甚至是多個網路)的蠕蟲,而無需使用者採取任何動作。在 2017 年美國國家安全局開發的漏洞利用被洩露給公眾後,一種稱為 WannaCry 的勒索軟體蠕蟲利用該漏洞幾乎同時感染了超過 200,000 台電腦。
無論使用哪種方法,目標都是將惡意檔案(也稱為惡意負載)放到裝置或網路上。一旦執行,惡意負載就會加密受感染系統上的檔案。
在這樣做之前,它可能會與攻擊者的命令和控制 (C&C) 伺服器通訊以接收指令。有時,攻擊者會等待合適的時機傳送命令來加密檔案,這樣勒索軟體就可以在裝置或網路上保持不活動狀態,並且數天、數週甚至數月不被偵測到。
一份報告稱,勒索軟體受害者支付的平均價格超過 300,000 美元。另一份報告發現,包含勒索成本、業務損失和其他因素在內的勒索軟體攻擊平均總成本接近 200 萬美元。
2020 年,一個訊息來源估計,在過去的 12 個月裡,勒索軟體造成的經濟損失超過了 10 億美元,儘管實際成本可能要高得多,因為考慮到損失的服務,以及受害者可能在沒有公開宣布的情況下支付了贖金。
犯罪分子進行勒索軟體攻擊有巨大的經濟動機,因此勒索軟體可能仍然是一個重要的安全問題。
據估計,95% 支付贖金的組織確實拿回了他們的資料。然而,支付贖金可能是一個有爭議的決定。這樣做涉及到向犯罪分子提供資金,使他們能夠進一步資助其犯罪企業。
在某些情況下,有可能在不支付贖金的情況下從裝置中移除勒索軟體。受害者可以嘗試執行以下步驟:
然而,這些步驟在實踐中往往難以執行,尤其是當整個網路或資料中心都已被感染時,隔離受感染裝置為時已晚。許多類型的勒索軟體是持久的,可以自我複製或以其他方式抵抗移除。如今,許多勒索軟體組織都使用進階加密形式,如果沒有金鑰,幾乎不可能進行解密。
由於勒索軟體移除極其困難,因此更好的方法是先嘗試預防勒索軟體感染。以下是一些有用的策略:
即使使用這些方法,也無法 100% 預防勒索軟體,就像無法 100% 預防任何威脅一樣。
企業可以採取的最重要步驟是備份他們的資料,這樣如果發生感染,他們可以切換到備份,而不必支付贖金。
與勒索軟體攻擊類似,DDoS 勒索攻擊本質上是一種勒索嘗試。攻擊者威脅要對一個網站或網路進行 DDoS 攻擊,只有收到付款才不發動攻擊。在某些情況下,攻擊者可能先開始 DDoS 攻擊,然後要求付款。DDoS 勒索攻擊可以由 DDoS 緩解提供者(如 Cloudflare)阻止。
閱讀有關勒索型 DDoS 的詳細資訊。
Cloudflare 產品關閉了幾個可能導致勒索軟體感染的威脅媒介。Cloudflare DNS 篩選可封鎖不安全的網站。Cloudflare 瀏覽器隔離可防止路過式下載和其他基於瀏覽器的攻擊。最後,Zero Trust 架構有助於防止勒索軟體在網路中傳播。