面對勒索軟體威脅，你付錢了嗎？

勒索軟體已經成為當前企業IT部門最害怕的資安風險，而且不論企業規模大小，什麼行業別，全部都成為駭客鎖定勒索的對象，近期像是歐美各大醫療院所，都紛紛淪陷，而成為駭客的提款機。

對此，趨勢科技全球核心技術部技術經理陳健宏表示，這些使用勒索軟體的駭客為了維持「商譽」，往往會成功復原加密的檔案，但是，對企業或一般使用者而言，如何杜絕勒索軟體成功入侵企業電腦的管道，才是更值得關注的關鍵。

勒索軟體其實不是新玩意，早在2006年，就有類似具有加密功能的木馬程式TROJ_CRYZIP，但是，一直到2012年出現的Reveton惡意程式，才讓針對檔案加密攻擊手法的惡意程式慢慢成熟。

不過，陳健宏坦言，這期間駭客一直要克服的則是金流的問題，直到具有可匿名特性的比特幣解決駭客金流問題，讓2013年的CryptoLocker成為歐美國家避之唯恐不及的資安風險，此時，也有很多受害者為了復原檔案，必須付錢給駭客，才能取得解密金鑰來還原檔案。

而且，約莫在2013年同時，還有像是TorrentLocker等類似變種的勒索軟體，也被推出，目的是為了分食勒索軟體的市場。到了2015年，更有TeslaLocker等變種惡意程式橫行。

勒索軟體全球散布方式之一：惡意郵件

不過，勒索軟體可以快速蔓延到全世界，和它們採取的散布方式途徑，有直接相關。
陳健宏表示，因為勒索軟體本身沒有自行擴散的能力，必須透過其他的攻擊方式散布，而主要的傳播管道，包括：惡意郵件和網頁掛馬兩種。

首先，以惡意郵件的散布方式而言，當中包括了：釣魚郵件中的惡意連結，以及偽裝成正常檔案的惡意夾檔。

他進一步解釋，一般人每天都可以收到許多電子郵件，而且是假冒各種生活常見的快遞或金融等業者的電子郵件，裡面往往會有許多連結，希望使用者可以點擊連結、下載並確認相關資訊的正確性，而這些網址往往都是經過駭客假造過的惡意連結，使用者只要一連上該惡意網址，就會下載實際為勒索軟體的檔案。

另外，也常見到有人直接將檔案隨信件寄送，因此，如果夾帶的檔案本身可能就是勒索軟體，這時候，只要你開啟該檔案，就會步上電腦或檔案被勒索軟體控管的後塵。
這些包藏勒索軟體的惡意郵件，起初都以歐美和澳洲等地為主，但在今年4月開始，則發現有新興的勒索軟體Locky鎖定臺灣的使用者。

而這些惡意郵件的主旨，則是類似發票寄送，例如：主旨:ATTN: Invoice J-98223146，就是利用使用者對於打開微軟Word檔案沒有防心的前提，造成不少使用者電腦中的檔案被綁架。

不過，他也表示，目前仍少見以中文為主的勒索軟體惡意郵件。

對於勒索軟體的威脅，多數人在意的部份，在於如何成功地復原遭到加密的檔案，趨勢科技全球核心技術部技術經理陳健宏提醒，對企業或一般使用者而言，杜絕勒索軟體成功入侵企業電腦的管道，是更值得關注的重點。攝影／洪政偉

勒索軟體全球散布方式之二：網頁掛馬及惡意廣告

至於網頁掛馬的方式，陳健宏表示，一種就是駭客直接入侵網站，第二種其實是惡意廣告造成的。

趨勢科技早先就觀察到這種現象。他表示，從去年10月開始，網頁掛馬的攻擊行為其實已經變得更嚴重，像是去年第四季網頁掛馬的攻擊，就比第三季增加3.5倍，第三季的網頁掛馬攻擊次數為43,015次，而第四季則為152,929次，成長比例相當驚人。

第一種是駭客直接入侵網站，將惡意程式植入網站中，而不知情的使用者瀏覽該網站時，若點擊了這些連結，使用者就會自動被轉址到其他的惡意連結。

當連到這些惡意連結時，陳健宏表示，使用者會從遠端下載惡意的攻擊程式（Exploit），也可以在攻擊這些應用程式的漏洞、網頁瀏覽器的漏洞、網頁瀏覽器的外掛程式（例如Adobe Flash）漏洞後，駭客就可以取得這些應用程式的控制權，接著，對方就能自動在使用者電腦的背景程式中，下載並執行勒索軟體。

根據統計，在2015年，總共有五種以上主流的漏洞攻擊套件（Exploit Kit），是駭客經常用來入侵網站的工具，其中包括：Angler、Magnitude、Nuclear、Neutrino和Rig等，它們主要鎖定的目標是網站伺服器，本身也可以避免被防毒軟體偵測到。

從去年10月開始，趨勢科技也陸續發現，臺灣有越來越多的內容管理平臺（CMS），像是WordPress、Joomla和Drupal等，都遭到駭客利用這些已知的內容管理平臺漏洞入侵，並植入惡意程式。

若是以臺灣為例，陳健宏表示，包括學校、研究單位、中小企業、房地產公司、交通運輸業者和電子商務業者等，都已經遭到勒索軟體的鎖定。

同時，趨勢科技觀察到，在國外已經有EITest和Pseudo-Darkleech兩組外國駭客，專門利用內容管理系統的已知漏洞，趁機進行大量攻擊。

前者主要的作為，是把惡意程式碼藏入SWF物件避免偵測，後者則是混淆惡意程式碼，以避免被偵測到。

而這些外國駭客組織，目前已經在全球同時控制超過1,500個以上的網站，然而，對於多數的網頁掛馬攻擊而言，這些卻也只是所有掛馬攻擊的一小部分。

他也揭露另外一個更不為人注意的網頁掛馬的攻擊方式，其實就是惡意廣告。

陳健宏表示，這些駭客會假冒廣告主，把藏有惡意連結的惡意廣告，上傳到一般的廣告平臺，而這些廣告平臺通常沒有任何的過濾及審查機情況，就直接傳播到各大網站，民眾只要點擊這些惡意廣告，就可能會被導到某個惡意網站、逕行下載勒索軟體。

至於臺灣惡意廣告的受害情況，主要是被全球惡意廣告所波及，他說，最多同時有三組不同的惡意廣告集團，一起活動。

從這樣的惡意廣告的攻擊行為發現，他認為，一般的網路廣告可以依照地區、時間和喜好做推播，往往很難察覺和追蹤惡意廣告的行蹤。

再者，多數網路廣告平臺，通常沒有能力過濾這些廣告，判斷是否夾帶惡意連結等行為，且彼此的上下游關係相當複雜，很難做驗證。

第三點原因則是，因為網路廣告可以推播到有更多使用者的大型網站，有些甚至不需要使用者點擊，只需要利用隱藏的iFrame，當使用者瀏覽這個網站時，就可以將使用者任意導入攻擊伺服器 ，讓人防不勝防。

越來越多的零時差漏洞，讓使用者暴露在高度的風險中

包括Adobe Flash Player、微軟瀏覽器，或是微軟Silverlight等，經常被人發現，本身存在著許多原廠還沒有修補的零時差漏洞，而有不少駭客在一定的時間內，便將這些還沒有修補程式的零時差漏洞，整合到他們的攻擊套件中。

「當這些程式越久沒有更新，風險也就越高。」他說，有些漏洞從發現到更新，甚至超過二個月，也就是使用這些應用程式的使用者，整整暴露在沒有保護機制的網路下，有超過二個月的時間。

這些零時差漏洞，也是勒索軟體最好切入的點。此外，陳健宏指出，勒索軟體的盛行，和金流可以隱匿而不被追查到的情況，已經有辦法解決，有很大關係，而這也是上述網路地下經濟之所以盛行的原因。

這個地下經濟，已經自行構築成一個完整的生態體系。他表示，當中有開發勒索軟體工具的組織、提供惡意郵件的組織、提供跳板服務的組織、提供傳播管道的組織、租用攻擊套件的組織等、提供防追蹤伺服器的駭客，以及加入惡意廣告入侵集團的駭客等。

如果有人想要做壞事，在這個地下經濟體系中，他們都可以找到所需要的各種駭客服務。「所以，這些不同角色的互動，往往是處於既合作又競爭的關係。」陳健宏說。

利用網頁廣告進行掛馬攻擊，也是勒索軟體大量散播的手法之一，圖中是趨勢科技發現的受害案例，他們是被全球性的惡意網頁廣告波及（右下角），而且當中至少有3組集團活動的蹤跡。圖片來源／趨勢科技

勒索軟體的解決之道

要杜絕勒索軟體橫行，陳健宏表示，就算美國FBI面對勒索軟體的威脅，往往也只能說「付錢了事」。

但是，他認為，杜絕勒索軟體的散播途徑，永遠是第一優先該做的事情。

例如，杜絕惡意信件進入企業或組織內部；確保網站安全性，不被駭客入侵；過濾網路廣告，確保沒有隱含任何惡意連結；並且定期更新修補瀏覽器和應用程式，確保應用軟體本身的安全性，不會被駭客所利用等等。

陳健宏說：「以2015年為例，應用程式的軟體更新，只要公布四天後，使用者沒有儘速更新的情況下，駭客將這樣的漏洞納入攻擊套件時，也表示使用者已經面臨極高的風險。」

所以，一旦有軟體發布各種更新時，使用者務必做到儘速更新，以確保使用者電腦安全。當然，只打開信任發信者的郵件，如果無法確定郵件是誰寄送的，或者是郵件的夾擋或是連結的安全性前，都不應該貿然點擊。

而基本的防護軟體，包括防毒軟體，都不可以忽略。如果本身是採用微軟作業系統的使用者，也應該要部署由微軟自己開發的進階緩和經驗工具組（Enhanced Mitigation Experience Toolkit，EMET），將可以防止惡意程式影響到其他程式的可用性。

最後的最後，他也再三強調，好的備份政策，往往是使用者面對勒索軟體檔案加密，是否要支付贖金的重要關鍵。

他建議應有定期且完整的資料備份，並遵守三、二、一的備份原則：三份備份、二種不同儲存媒體，以及一個不同的存放地點。這些作法若能實施，都可以有機會降低勒索軟體對使用者的威脅程度。