勒索軟體肆虐！企業應提高警戒

3年前Dell SecureWorks的資安研究員發現加密型式的勒索軟體CryptoLocker，如今2016年了，勒索軟體的危害不僅未曾消退，在攻擊手法不斷變種的情況下，威脅反而日益增大。由於近來臺灣受害災情快速擴大，企業對於勒索軟體可不能掉以輕心。

CryptoLocker這類加密型勒索軟體之所以惡名昭彰，在於這款勒索軟體入侵電腦後，就會鎖定使用者常用的檔案類型，如Office文件檔案、圖片檔案等，偷偷將這些檔案陸續以RSA公私鑰加密機制執行加密，一旦加密作業完成，CryptoLocker就會顯示勒索訊息，要求使用者依指示支付贖金，以取得可以解密檔案的私鑰。

這種將原本用來保護資訊安全的加密機制，反過來做為勒索的工具，讓許多受害者非常痛苦。因為RSA 2048位元加密可不是一般人破解得了，倘若沒有備份檔案，不付贖金就肯定是要放棄被綁架的檔案，然而個人電腦裏有許多文件、照片檔案都是生活中重要的記錄，或是工作上的重要資料。有的人因此被迫要放棄小孩的所有照片，痛苦萬分；有的公司因為重要業務資料被綁架，一片人仰馬翻。

然而，上述只是CryptoLocker初期作虐的受害情景，在勒索軟體不斷變種、攻擊手法不斷變化的情況下，勒索軟體對企業的危害更加嚴重了。現今，勒索軟體的威脅已經不只是個人電腦，就連網站伺服器也會被綁架勒索；而企業受害的情況也不再只是喪失幾臺電腦的資料而已，而是整個業務營運被迫中斷。

勒索軟體雖然也是惡意程式，但企業必須了解勒索軟體與一般惡意程式的特性有所不同。在背後操作勒索軟體的組織，都是以獲利為考量的網路犯罪組織，他們之所以會把受害者電腦的檔案加密起來，就表示他們要的不是資料，而是贖金，也因此，操作勒索軟體的犯罪組織一定會持續尋找最容易付贖金的標的。

有些人在被勒索軟體綁架後，痛恨犯罪組織，不想因為支付贖金而助長網路勒索歪風，遂忍痛割愛，這樣犯罪組織就無法得逞。於是，犯罪組織把目標轉向網站伺服器，除非被綁架的網站有勤做備份，或能夠承受長時間中斷網站營運，甚至狠下心關站，否則大部分被綁架的網站都只能乖乖繳贖金。

不僅如此，從一些現象不難發覺操作勒索軟體的犯罪組織正一步步瞄準企業的要害，像是綁架加密的檔案類型不再只是Office文書檔案，甚至會鎖定如設計圖檔等關乎企業命脈的重要資料。最近資安專家新發現的一種勒索軟體Locky，不僅會加密電腦本地端的檔案，還會尋找網路上的磁碟機，其危害更是直指企業內部網路。

再者，勒索軟體也開始盯上無法承受業務營運中斷的產業，像是醫療業最近就是災情頻傳。2月中旬，在美國與德國都發生多起醫院被勒索軟體綁架的事件，而這些醫院的醫療資訊系統都因此無法運作，整家醫院被迫重回沒有電腦的時代，X光片檔案被綁架無法開啟、醫生重回手寫病歷、檢驗結果只能靠電話傳真來傳遞，重大的病患或重要的手術，也被迫要轉診。

在過去，很難有什麼惡意程式能夠讓醫院發生上述整個停機的情況，但現在，單單一個勒索軟體就有這麼大的破壞力。所以，企業對於勒索軟體不能等閒視之。

企業也不能再以為臺灣不是勒索軟體的重災區，雖然CryptoLocker肆虐時，臺灣的災情可說是雷聲大雨點小，但是根據趨勢科技的研究，2015年上半年臺灣遭遇勒索軟體的數量，足足是2014年的3倍；而且，資安專家也在上述的Locky勒索軟體中，首度發現中文版勒索信。這些訊息在在證明，勒索軟體已經在臺灣肆虐，企業應該要立即提高警戒。