勒索軟體攻擊與因應之道

近期新聞報導中對於勒索軟體有諸多探討。令人意外的是知道勒索軟體為何及被攻擊可能導致什麼結果的人並不多。

以下我們為你總結出你可以採取以自我保護及萬一不幸發生時如何應對的各種方式。

什麼是勒索軟體?

勒索軟體是被用來向其被害者要求贖金的惡意軟體。多數這類型的軟體都經過設計,以能順利安置在你的系統中並能逐步加密你的文件。唯有在它們完成加密後你才會收到死亡通知 – 你若不付錢就等著跟你的檔案告別。

沒有任何安全系統是絕對安全的。而惡意軟體總是設法在這場安全遊戲中搶先一步。如果你不小心中了計,這裡有一些實用的指導方針可以幫你解決問題:

步驟1: 把破壞減至最低

首先,隔離遭受攻擊 – 特別是如果其連接到你的網絡 – 的系統,以防止其他系統受到牽連。

如果你是一名資訊工程人員,而且你的伺服器已受到入侵,請斷開所有乙太網絡的連線。

嘗試將文件複製到外部磁碟以進行備份。你或許認為儲存尚未加密的檔案是個好主意,但你也可能因此散佈惡意軟體。當你將磁碟/ USB插入受感染的電腦時,惡意軟體會自動複製到新插入的硬碟中。

而當該硬碟/ USB被插入其他電腦時,惡意軟體便會進而入侵該系統。最糟的是,你可能在努力清理完你的系統後,因插入含有惡意軟體的硬碟而再度受到感染。所以最好的做法是隔離被惡意軟體入侵的電腦。

步驟2: 辨識勒索軟體的類型

市面上有各種類型的勒索軟體,其中有些比其他類型更為危險且更難處理。你可以根據其攻擊的類型和特點,採取不同策略來擺脫它們。其中最常見的類型分為以下幾種類別:

  1. 恐嚇軟體/假防毒軟體
    恐嚇軟體,也被稱為假防毒軟體,是一種可以讓用戶相信他們的系統出現問題的惡意軟體。
    接著用戶因此必須購買一些其他軟體來清除病毒。當然,用戶的電腦事實上沒有任何問題,而且通常更可能購買一些惡意軟體而導致真正感染。
    在多數情況下,其藉由在螢幕中間顯示帶有斗大的粗體字的彈出式訊息,來宣告諸如發現病毒、系統遲緩或註冊表問題等有待解決的狀況。其也可能包含釣魚連結,以在使用者將彈出式視窗關閉後將其重新導回惡意軟體的網站。以下其中一個案例的截圖:
    恐嚇軟體可能是所有惡意軟體中最容易處理的。你只需關閉瀏覽器標籤,這樣的彈出式視窗就會消失。如果你彈出式視窗出現在你的操作系統中,那麼你可能需要使用工作管理員或更進階的工作管理員來找出惡意文件。接著,你只需刪除或解除安裝。如果你還有問題,請使用防病毒軟體或反惡意軟體應用程式來進行掃描。
  2. 螢幕鎖定勒索軟體
    這種類型的勒索軟體將在你支付贖金之前,使你無法使用你的電腦。在多數案例中,全螢幕將顯示為一個警告通知。其可能以聯邦調查局的名義,針對非法下載線上內容採取行動。在某些案例下,其可能將色情圖片設為桌面且無法更換。其藉由羞辱受害者來促使其支付贖金。更進階的軟體會在追踪用戶的活動數天後,顯示一個個人化的通知,藉此使其勒索更為可信且嚇人。以下是其中一個案例:
    如果你被其中一個惡意軟體攻擊,請先嘗試找出導致其發生的執行檔案。通常你只需按CTRL + ALT + DEL即可進入工作管理員並關閉該程式。
    而在你刪除執行檔案後,最好進行完整的防毒掃描來刪除任何殘餘的痕跡。如果這些解決方法沒有用,則你可能需要修復或復原Windows才能回復到惡意軟體不存在或休眠的狀態。
  3. 文件加密勒索軟體
    最後一種也是最危險的類別,是那些加密所有文件的軟體;除非你支付贖金,否則將無法使用任何你的檔案。通常他們會進入受害者的系統,並且默默開始加密所有文件,使其完全無法被使用。
    完成以後,他們會要求使用者付款以解除加密。現今,像比特幣這樣的加密貨幣和其所提供的匿名性是攻擊者獲取款項的絕佳途徑。這是受Wannacry所攻擊的使用者所看到的畫面:
    了解加密如何進行可能有所幫助,因為這樣一來你便知道如何解密並拿回你的檔案。
    多數軟體在運行時使用對稱和非對稱加密的組合(點擊此處以獲取更多有關加密類型的資訊)。對稱加密經常被使用,因為比起非對稱加密,其加密文件的速度快上許多。然而,不對稱加密表示攻擊者只需要擁有一把密鑰。否則,他們就必須掌管和保護所有受害者的對稱密鑰。

命令和控制伺服器(C&C)通常被用於軟體通訊。以下便是文件加密勒索軟體如何使用對稱和非對稱加密來執行攻擊的方式:

  • 攻擊者端使用許多可行的非對稱加密運算法(如RSA-256)之一來生成密鑰。
  • 密鑰由攻擊者看管,而公共密鑰則被嵌入在勒索軟體的程式中。
  • 一名新的受害者系統被勒索軟體入侵。其將資訊與系統的獨特ID或受害者的ID一起發送到C&C伺服器。
  • 使用對稱加密運算法(例如AES)之一,其伺服器會為該受害者的系統生成並發送對稱密鑰。然後使用私有密鑰來加密對稱密鑰。
  • 勒索軟體程式使用嵌入式公共密鑰來解密對稱密鑰,之後開始加密所有文件。

現在你知道勒索軟體如何運作,讓我們來一一檢視你在系統被感染時有哪些選擇的做法

步驟3: 決定策略

以上我們討論了移除前兩類勒索軟體相對簡單的方法。

相比之下,文件加密程式更難排除。首先,你必須確定你正在處理的惡意軟體的類型。由於每天都有新的程式被編寫出,因此有關近期程式的資訊可能很貧乏。但是在多數情況下,你應該能夠藉搜尋來識別其類型。

請嘗試截圖贖金說明的螢幕畫面,然後反向搜尋該圖以找出勒索軟體的確切類別。此外,你還可以藉由說明內容中使用的短語來進行搜尋。

之後,決定你是否要支付贖金。雖然我們不建議你支付贖金,因為這樣只會鼓勵他們的行徑,但有時你的數據太敏感或重要以致無法放棄。請使用你的判斷,除非絕對必要,否則絕不支付。

在最壞的情況下,你應該考量到,你即使付款也不保證能取回你的數據。

步驟4: 採取行動

如果你可以識識出入侵你電腦的勒索軟體的詳細資訊,請透過網絡搜尋找出能將其移除的方法。惡意軟體的密經常缺乏效率。其開發人員可能忘記從程式中刪除可解密文件的加密密鑰。

如果該勒索軟體夠有名,並且有一些漏洞,你應該能夠在如nomoreransom.org等網站上找到將其刪除的教學和指南。

由於許多勒索軟體程式在加密其副本後會單純將原始檔案刪除,所以你可能可以使用數據復原軟體來進行修復。在你刪除文件時,除非這些文件被其他文件覆蓋,否則不會真的被硬體中刪除。因此,你應該可以使用免費復原軟體來恢復重要數據。

如果這些方法都不管用,則你就必須決定要支付贖金或喪失你的數據。然而,即使你支付贖金也不保證能拿回數據。這完全取決於你的判斷,而你必須選擇是否要相信攻擊者的誠信。

你還可以嘗試使用贖金說明中所提供的電子郵件地址來與攻擊者進行談判。此方法意外可行。

如果你決定不支付贖金,則下一步便是清理你的電腦,但你將永遠失去你的數據。如果你有在外部硬碟進行備份,請勿在完全格式化前將其連接至你的電腦。

清理勒索軟體最好的方式是硬格式化你的操作系統。如果你不想採取這麼劇烈的手段,請確保勒索軟體不會影響開機磁區。你可以在網路上找到有關這方面的資訊。

接下來,更新你的防毒軟體,並對你的系統進行全面深入的掃描。你也可以使用反惡意軟體程式來補強防毒。如此一來應該可以永久刪除勒索軟體。

步驟5: 事後檢討

現在你擺脫了勒索軟體,是時候檢視你被攻擊的原因了。一個智者曾說:「預防勝於治療」,而這比其他任何事情都適用於線上安全。線上防禦與使用者安全息息相關,而通過完善的保護,任何惡意軟體都難以入侵。

請保持警覺並注意以下幾點:

  1. 時時更新你的防毒軟體
  2. 記得檢查你所訪問的網站的URL。
  3. 不要在系統上執行來路不明的程式。解鎖、序列和更新等是惡意軟體最常見的來源。
  4. 不要讓來路不明的網站在你的瀏覽器上執行內容(惡意軟體可能來自名為Java驅動器的技術)
  5. 時時更新你的操作系統。惡意軟體(包括勒索軟體)通常會在舊版操作系統中藉由未修補的安全漏洞來進行傳播。例如,駭客可能會利用Windows RDP軟體中的錯誤來入侵連接網路的系並進而執行惡意軟體。
这对您有帮助吗?把它分享出去吧!
在Facebook上分享
0
将此发布在推特上
0
如认为Google对你了解不足就分享出去
0