面對(加密)勒索軟體,什麼是該做? 什麼是不該做?
Date:2016-03-19
勒索程式的危害? 已被勒索軟體加密? 我可以拿回檔案嗎? 可以打開加密檔嗎? 如何防範勒索軟體? 勒索程式的簡短歷史 簡介
下載完整 PDF 格式檔:面對(加密)勒索軟體,什麼是該做? 什麼是不該做?
簡介:您應事前做好準備保護重要檔案,不要向勒索軟體屈服
 

多數人覺得“綁架勒索”只會發生在好萊塢電影及黑幫老大身上,但其實網路犯罪者正在使用勒索程式對企業進行要脅,攻擊各種大型及小型目標。根據賽門鐵克最新一期的2015 年網路安全威脅研究報告第 20 期指出(ISTR 20),截至2014年底,全世界約有17億個惡意程式。單單2014一整年,就增加了約3.17億個惡意程式,也就是一天約增加1,000,000(一百萬)個惡意程式。而在2014這一年,平均每個月有729,167個勒索程式攻擊。勒索程式攻擊在2014年增加了113%,從2013年的410萬上升到880萬。值得注意的是檔案加密勒索程式的成長(賽門鐵克稱為 “加密勒索程式”),從2013年的8,274增加到2014年的373,342個。在一年的時間內,加密勒索程式成長了45倍。2013年,加密勒索程式只佔所有勒索程式的0.2%(500分之1),同時也非常不普遍。但是到了2014年底,就成長到佔所有勒索程式的4%(25分之1)。

這兩年來,加密勒索病毒成為駭客有效的獲利模式(單單一個 CryptoWall 加密勒索病毒的地下經濟規模高達100億台幣以上),也讓所有電腦用戶,不管是企業還是個人,都為之聞之色變,人人自危。現代企業,不管規模大小與產業類別, 幾乎百分之百倚賴資訊系統才有辦法維持營運。而人手一機的智慧型手機、 平板以及數位相機,社群/通訊軟體及APP 所形成的生活數位化,更是加密勒索病毒的快樂天堂。其實,只要養成良好的使用電腦或手機平板的好習慣,使用必要的安全防護軟體並把份與復原(Recover)的機制確實作好,被專家證實是可以將加密勒索病毒的危害程度,降到最低。而備份與復原(Recover)需要人力與資源的投入,跟買保險很像,太平盛世時,無績效可言。只有身受其害的企業或個人,才有刻骨銘心的體驗並將備份與復原工作奉為圭臬。

包含加密勒索病毒在內的任何惡意軟體都會對數位資訊以及資訊系統及基礎架構的機密性(Confidentiality)、完整性(Integrity)以及可用性(Availability)造成傷害。即便駭客宣稱這個行業也是注重商譽的(盜亦有道),但是檔案被加密了,即使付了贖金而解密成功,也難保其完整(正確)性,更何況有一定的比例是付了贖金也拿不到解密的金鑰。所以備份與復原工作的才是應對加密勒索病毒的最後的保命符。

對企業而言,特別是核心競爭力仰賴知識產權(intellectual property,簡稱IP)的企業以及必需遵循法規的產業或組織,普遍都已經建置必要的防護方案與備份機制。不過;遭受加密勒索病毒的案例還是屢創新高。實際上比加密勒索病毒更嚴重的危害是針對性攻擊/鎖定目標攻擊(Targeted attack ): 用最簡單的話來說,針對性攻擊是一種有意圖性的,精心策劃的,針對特定的人或組織所發動的攻擊, 通常使用客製化以及隱匿的進階持續性威脅。專業的駭客組織只要幾分鐘就能入侵被害者現有的安全防護, 而受害者平均在事發後兩百多天才發覺。 因為它會長期潛伏在企業內部,並能躲避傳統防護機制的偵測,伺機竊取機密的資訊,苦主往往發現自己研發中的產品,已被搶先上市或是被法規單位告知消費者的個資或交易資訊外洩,才發現自己可能因遭受目標式攻擊而遭受資料外洩。就目前來看,加密勒索病毒比較屬於亂槍打鳥式的傳統攻擊模式,而不是目標是攻擊。不過;由於目前加密勒索病毒已經發展為集團式的精密的分工分潤體系;每個攻擊活動的payload (酬載)都會帶有所謂的活動號碼(Campaign ID)及攻擊對象的參數;後端的金流系統會依據活動號碼自動分潤給在這個活動有參與的人員(如開發惡意攻擊程式的;遞送惡意程式的...),所以只要您付了贖金;該犯罪集團就知道您付得起贖金;接下來您就會有層出不窮的機會被攻擊;進而轉換為目標式攻擊;這也就是為何專家不建議受災戶支付贖金的主因之一。

 
目標式攻擊動機可分為以下幾類(本文不深入討論目標式攻擊或APT):
  • 取得競爭優勢:知己知彼,侵入敵對公司內部竊取機密資料。
  • 取得內部資訊:竊取智慧財產等新技術資料。
  • 敲詐勒索:竊取資料以勒索企業付款贖回。
  • 抗議行動:網路駭客組織入侵企業或組織,使系統故障或暫停,宣示抗議的訴求。
  • 財務利益:竊取新科技或企業內部寶貴資料待價而沽。
  • 網路復仇:公司內部人員因為熟知系統弱點,可透過攻擊達到勒索、賄賂或報復目的。