什麼是勒索病毒/勒索軟體 ( Ransomware) ?(含歷年勒索病毒與贖金)

有位台北市某公司會計人員,誤點免費中獎 iPhone釣魚郵件,導致伺服器上的資料被勒索病毒CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選，「勒索病毒肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索病毒)奪魁,得票數占42.11%。

中了勒索病毒該怎麼辦？「建議受害人付款了事」在一個網路安全高峰會上 FBI 如是表示,此語一出即惹來了爭議。
勒索病毒藏在郵件,藏在載點,藏在廣告裡…只要你上網,就有可能是它的覬覦目標。

勒索病毒假冒執法警察勒索
假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒
加密勒索病毒散播到新地區,台灣列入歐美以外最受影響的國家
勒索程式假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件
48小時內支付贖金，否則你手機上的所有資料將永久被破壞！
不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶…..
這些只是本部落格介紹過相關勒索病毒(勒索病毒/綁架軟體)案例的一小部分,今天我們就來認識這個惡意程式

英文有句諺語：「Everything old is new again」

這對網路威脅來說是再對也不過了。
在過去幾個月間，我們的研究人員就看見勒索病毒 Ransomware再度地捲土重來。
這是件值得關心的事情，因為最新的勒索病毒非常複雜。這代表著如果感染了勒索病毒，會為你帶來很大的麻煩。

什麼是勒索病毒？

勒索病毒 Ransomware是一種特殊的惡意軟體，讓你失去對自己系統或資料的控制，而且如果不付錢給這攻擊的背後黑手也就無法拿回來。基本上，你的系統或資料成為了人質，讓你被迫去支付贖金。這也就是它被稱為「勒索病毒」的原因。

勒索病毒散播有十年了。第一個版本早在2005年就在俄羅斯出現。

從那時候起，勒索病毒傳遍了全球，發展出許多不同的版本。某些類型的勒索病毒會偽稱為當地的警察機構：贖金以「罰款」的形式出現，讓使用者不得不馬上支付。有些較複雜的警察勒索病毒會使用受害者的本土語文。有些甚至會在受害者的本土語文中包含了語音訊息。

2013年有一個特別麻煩的勒索病毒稱為「Cryptolocker」。它會加密重要檔案，只有當你支付贖金後才提供解密方法。Cryptolocker變種使用無法破解的加密演算法，所以使用者只能選擇乖乖付錢（隨然可能不會真的解密檔案）或失去他們的資料。

勒索病毒甚至還從一般電腦發展到Android系統上。

從 2013 年起，我們所偵測到的傳統勒索病毒與加密勒索病毒的比例，已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家，到了2015年，勒索病毒開始出現簡中介面，臺灣爆發災情,受害者包含企業和個人用戶。

從以下三點可以看到勒索病毒事業愈做愈大了:
1.成立技術支援團隊，全天候 7 天 24 小時提供付款電話支援服務
2.提供網路聊天的方式即時協助受害者進行付款流程
3.架設網站，提供免費試用解密工具…看完整報導

勒索病毒現在的狀況？

勒索病毒威脅似乎在2014年稍微減緩，但很快又再度回來了,比如歐洲的Cryptolocker類型攻擊和 Reveton勒索病毒捲土重來。同時，我們在澳洲看到一個新的Crytpolocker類型勒索病毒變種稱為「Torrentlocker」。另一個Cryptolocker類型勒索病毒被稱為Critroni或Curve-Tor-Bitcoin（CTB）Locker。

你可以參考趨勢科技和澳洲迪肯大學的研究人員合作製作的影片來了解TorrentLocker如何運作。

新一代的Cryptolocker類型勒索病毒加入一些創新功能以提高你支付贖金的可能性，好讓網路犯罪份子得到所想要的東西：你的錢。這些新版本會提供更多時間去支付這筆錢。還會讓你有機會解回一個或多個檔案以證明的確可以做到。你可以將其想成是典型地證明你資料肉票還活著的做法，代表它真的還在那裡。

即使有了這些創新做法，但它的本質仍然不變，還是一樣是勒索病毒：控制你系統或檔案的惡意軟體，除非你付攻擊者錢，否則拒絕交回。但即使你真的付錢也不能保證它們會回來。

關於勒索病毒，你該做什麼？

勒索病毒捲土重來這件事並不奇怪。在2013年2月，Reveton勒索病毒背後的關鍵人物被捕，這也導致了此一活躍的勒索病毒威脅大幅下降。CryptoLocker/GOZ在2014年6月被國際執法機構破獲也打亂此一威脅的全球分佈。但勒索病毒減少只是因為有人被逮捕了，並非不再有用。所以出現某人再度利用勒索病毒只是時間的問題。

勒索病毒不會很快地消失，它已經擴散到其他平台，像是Android系統。因為一旦中毒，勒索病毒就會很快地破壞你的檔案，所以你在面對此一威脅時的首要之務是不要中毒。保護自己並對抗勒索病毒的最好方法是讓系統保持在最新狀態，運行功能全面的安全軟體，小心你所打開的附加檔案。而特別是針對勒索病毒，必須確保你的系統有進行定期備份：好的備份可以讓你在感染勒索病毒 Ransomware後可以幫助你加以回復。

＠原文出處：It’s Baaacck: Ransomware Returns with a Vengeance

作者：Christopher Budd

PC-cillin 雲端版已增加對勒索病毒 Ransomware加密行為的防護機制，可預防檔案被勒索病毒惡意加密！即刻免費下載試用

★你付錢了嗎?別讓檔案當肉票!勒索病毒常見問題集
 ★看更多勒索病毒文章…….
★看更多資安漫畫

如何防禦勒索病毒?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin對抗勒索病毒
【企業用戶】
★趨勢科技端點解決方案
 ★中小企業如何防禦加密勒索病毒?

歷年勒索病毒與贖金

1989 年PC Cyborg贖金 378 美元
惡意勒索程式是專門針對網路勒索而特製的一種惡意程式，其根源可以追溯至 Joseph Popp 博士的 PC Cyborg 特洛伊木馬程式；首次出現於 1989 年。這種特洛伊木馬程式是透過軟碟複製的，而那些軟碟則是在一場 AIDS 研討會中散發的。執行之後，它會修改系統的 AUTOEXEC.BAT 檔來監控電腦開機了幾次。然後在系統第 90 次開機時，它會將系統中所有檔案重新命名。接著透過充滿威脅的「使用者授權合約 (EULA)」，告知遭到感染的使用者，必須支付贖金 378 美元給 PC Cyborg Corporation。

2005 年 TROJ_PGPCODER.A贖金 200 美元

想打開你電腦中的檔案嗎？聽從指示匯給我200美金，收到錢後你會拿到解碼程式”這是2005年TROJ_PGPCODER.A 木馬病毒，在受害者電腦中的留言。TROJ_PGPCODER.A 勒索木馬採用目前網路釣魚和間諜程式常用的手法，在瀏覽網站時，趁機安裝潛入受害電腦。這也是第一隻被命名為「惡意勒索程式 (ransomware)」的病毒；該程式會挾持檔案予以加密以便勒索，然後留下勒索訊息，亦即一個README.TXT 檔案。

2006 年TROJ_CRYZIP.A要解開壓縮檔案密碼？索取300 美金

一年之後，出現另一個類似的 TROJ_CRYZIP.A。TROJ_CRYZIP.A 會將檔案壓縮成有密碼保護的 .ZIP 資料夾，並強迫受感染的使用者將 300 美元存入特定的 e-gold 帳戶。

在偵測到 TROJ_CRYZIP.A 後才一天，TROJ_RANSOM.A 隨即出現。與TROJ_RANSOM.B 類似的是，它也會鎖住電腦系統，但要求比較少的贖金 10.99 美元。不同的地方在於，它每隔 30 分鐘宣稱一次，除非支付贖金，否則就刪除檔案。

2006 年TROJ_ARCHIVEUS.A 勒索方式-到藥局消費 75 元換解密金鑰

2006 年底之前，出現了另一個惡意勒索程式 TROJ_ARCHIVEUS.A。這個特洛伊木馬程式非常不尋常，因為它會複製「我的文件」資料夾之下的所有檔案，並將它們放在一個名為 EncryptedFiles.ALS 的檔案中。然後它宣稱會刪除原始檔，之後，它會要求受感染的使用者到一個俄羅斯線上藥局購買 75 元的東西，才能獲得解密金鑰。

2007 年多隻勒索病毒強迫購買150-300 美金軟體

雖然 2007 年充斥著新型的網路威脅，但惡意勒索程式並沒有從威脅情況中完全消失。那一年有三個新的惡意勒索程式被發現：TSPY_KOLLAH.F、TROJ_GPCODE.AB 以及 TROJ_GPCODE.AC。TSPY_KOLLAH.F 是在同年 7 月偵測到的，而且就如從之前偵測到的惡意勒索程式一樣，它會綁架檔案當人質。它也宣稱要使用 RSA-4096 演算法來加密那些檔案。它會留下 README.TXT 檔當作勒索訊息，告知使用者購買價值 300 美元的軟體，才能將他們的檔案解密。

一個月後，出現了 TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 威脅。與TSPY_KOLLAH.F 類似，TROJ_GPCODE.AB 和 TROJ_GPCODE.AC 也都會將檔案加密，並留下勒索訊息 (README.ASAP.TXT)。然後使用者要被迫購買 150 元的軟體，才能將自己的檔案解密。

四個月後，TROJ_RANSOM.B 出現了。TROJ_RANSOM.B 有可能造成更多損害，因為它挾持當作人質的不僅是檔案，還包括電腦本身。此外，使用者也可能經由其他惡意程式而感染到 TROJ_RANSOM.B。

2013年「Cryptolocker」加密勒索病毒開始盛行

2013年出現一個特別麻煩的勒索病毒-當時被稱為史上最狠毒的勒索病毒:「Cryptolocker」。它會加密重要的檔案，只有當你支付贖金後才提供解密方法。至此,加密勒索病毒開始大行其道，相關攻擊一直在持續加溫。趨勢科技主動式雲端截毒服務 Smart Protection Network全球威脅情報網路可說是一路目睹了加密勒索病毒 Ransomware的崛起。從 2013 年起，我們所偵測到的傳統勒索病毒與加密勒索病毒的比例，已從過去的80/20 演變至今日的 20/80,甚至還從一般電腦發展到Android系統上。起初加密勒索病毒主要鎖定歐美國家，到了2015年，勒索病毒開始出現簡中介面，臺灣爆發災情,受害者包含企業和個人用戶。

勒索訊息：是恐嚇手法還是真的威脅？

與許多威脅一樣，惡意勒索程式也使用社交工程 ( Social Engineering )陷阱手法從使用者手中敲詐金錢。藉著製造恐怖情節，也就是資料遺失或系統無法使用，然後說服使用者真的支付贖金。很自然地，有些受害者就不得不付出金錢以結束恐懼。

例如，下列文字是 TROJ_GPCODE.AB 與 TROJ_GPCODE.AC 惡意程式作者所寫的勒索訊息：
親愛的使用者：
謝謝您使用我們的服務。
最近我們檢查了您的系統，發現到許多嚴重的安全性漏洞。
這不是笑話，而且很清楚的是，我們可以將您所有的檔案、文件、封存檔及資料檔案加密。
為了您的安全，我們比下列其他人更早做到：駭客、病毒或愚蠢的破壞者。
全球有許多綁架程式正在獵取您的銀行帳號、信用卡資訊或其他有價值的東西。
現在，就算他們入侵您的電腦也偷不到東西，因為您所有的重要檔案都已經加密並保全了。在不遠的未來內，還沒有任何技術或科學方法可以破解這種加密。不幸的是，與其他工作一樣，我們的服務也要費用。只要美金 150 元。這比起您遺失所有檔案的價值要少得多了。

我們僅接受「西聯匯款 (Western Union)」，而且保證在收到您付款的一小時內，您就會收到解密程式與詳細的手冊。

如果您希望取回您的資訊，只要寄電子郵件到下列信箱：
XXXXX@XXXXXXXXXXXXXXXX
我們會在五分鐘內傳送給您進一步指示。
不用擔心，在我們接獲「西聯匯款 (Western Union Transfer)」詳細資訊一小時內，您就可以取回所有資訊。只要一小時！！！
很抱歉造成您的不便，但我們僅收取分文，比起別人收取高額費用要好得多。

在上述例子中，大家可以注意到，勒索訊息似乎是要幫助使用者一臂之力，因為據稱系統存在著「安全性漏洞」或逾期的安全軟體。但事實上，這些只是要使用者照著罪犯指示去做下列事情的社會工程手法：付錢。我們可以問一個很合邏輯的問題：惡意勒索程式真的能像他們所說的將檔案加密嗎？

根據 TrendLab 一位工程師 Alvin Jethro Bacani 表示，有些惡意勒索程式的確有能力可以將檔案加密。不只是虛張聲勢或矇騙使用者，惡意勒索程式的確可以將人質檔案加密。早期的惡意勒索程式版本具有 56 位元金鑰 RSA 演算法，後來開始發展到使用 660 位元金鑰。這會使得實際解密檔案的時間拖很長。這表示，雖然安全性廠商都有修復工具可以欣然將「被誘拐」的檔案解密並復原，但還是有惡意程式作者會不停地使用越來越複雜的方式來換取更多時間。

惡意勒索程式有可能造成龐大損害，特別是如果感染了使用者在組織內的業務重要資訊。同樣的，家用電腦使用者如果資料遺失，也會蒙受很大的損失。根據 Secure Science Corporation 統計，2007 年 1 月至 8 月，惡意勒索程式的受害使用者約有 152,000 人，而資料損失的可能性更難以估計。

解決方法

雖然勒索惡意程式使用社交工程 ( Social Engineering )陷阱來欺騙使用者，但還是有方法可以保護使用者，免於蒙受這種攻擊的損失。使用者必須隨時養成安全的電腦使用習慣，才能在一開始就不將這些程式碼引入到系統中。就這一點來說，隨時保持安全軟體、作業系統及其他應用程式的最新狀態，也是最好的方法。目前已經知道，惡意勒索程式是利用軟體中存在的弱點來遂行其犯罪企圖。

將檔案備份也是很基本的。照著勒索的要求付款，並不能保證被加密的檔案得以復原，也不能保證惡意程式作者所傳送的解密程式金鑰真的可以取回檔案。萬一不幸發生系統感染事件，千萬不要慌張：必須獲得安全廠商的協助，才能妥善處理受害情況。

資料來源：

〈惡意勒索程式 101〉(Ransomware 101)，作者：John Edwards
〈惡意勒索程式開始出現〉(Ransomware Rising)，作者：Brian Krebs，Washington Post
〈惡意勒索程式特洛伊木馬程式〉(Ransomware Trojan)，作者：The Register
維基百科的「惡意勒索程式」(Ransomware) 條目
趨勢科技 (Trend Micro) 惡意程式部落格項目：可以救回系統的簡訊或電話 (Text or Call to Bring Your System Back)
趨勢科技 (Trend Micro) 惡意程式部落格項目：惡意勒索程式再次攻擊… 贖金較低(Ransomware Strikes Again…At a Cheaper Price)
〈這個特洛伊木馬使用 RSA-4096 來加密資料… 真的嗎？〉(This Trojan Encrypts Data with RSA-4096.. Really?) 作者：Heise Security UK
〈惡意勒索程式越來越難以破解〉(Ransomware Are Getting Harder to Break)，作者：The Register
〈勒索的檔案〉 (Files for Ransom)，作者：Network World
〈家用電腦的勒索威脅〉(Hostage Threat to Home PCs)，作者：Sydney Morning Herald 的 Louisa Hearn

PC-cillin 2016雲端版已有增加對勒索病毒 Ransomware加密行為的防護機制，可預防檔案被勒索病毒惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》