勒索軟體：恐嚇取財手法十年進化史

勒索軟體誕生於 2006 年
2012年假冒警察,抓盜版軟體
2013年加密手法日益成熟
2014-2015年鎖定企業,台灣也受駭…

自從我們第一次遭遇勒索軟體 Ransomware至今已過了大約十個年頭，這類軟體會挾持受害者最重要的檔案，然後逼迫受害者支付一筆金額來贖回這些資料 (因而稱為勒索軟體)。為了記錄這個有史以來發展最蓬勃、吸金能力最強大的惡意程式類型邁入十年重大里程碑，讓我們來回顧一下我們所接觸過的重大案例，看看它們這些年來是如何發展與演變。

2006 年：起源

僅管早在 2005 年中期，媒體就報導過一些勒索軟體 Ransomware的案例，但是較為精密且會採取某種加密手法的版本要在一年之後，也就是 2006 年才開始出現。其中一個早期變種就是我們偵測並報導過的 TROJ_CRYPZIP.A，它會搜尋受害者硬碟上某些副檔名的檔案，然後將這些檔案壓縮成含有密碼保護的壓縮檔，並將原始檔刪除。使用者若沒有任何其他備份，就只好想辦法看看能不能解開這份壓縮檔案。此外，TROJ_CRYPZIP.A 還會利用一個記事本檔案來留下勒索訊息，告訴使用者只要支付 300 美元就能取得壓縮檔的密碼。

當然，由於這是勒索軟體 Ransomware首次嘗試向不知情的使用者詐取錢財，其詐騙手法還不是非常周延。因為，歹徒的密碼其實就儲存在惡意程式其中一個元件當中，也就是它的 .DLL檔案，而且大剌剌地並未加密。

2011 年：實驗摸索的階段

時間繼續向前快轉五年，我們發現勒索軟體 Ransomware已有重大進展，至少在贖金的付款方式上已經可以接受行動支付機制。2011 年發現的 TROJ_RANSOM.QOWA 專門鎖定俄羅斯的使用者。此變種一改挾持檔案勒贖的作法，直接將使用者的桌上型電腦鎖住，並在螢幕上顯示一個要求支付 360 俄幣 (在當時約為 12 美元) 贖金的畫面。受害者必須撥打一個付費電話號碼並同意支付費用才能取回系統的主控權。

儘管這還不像後來發展出來的檔案加密怪獸，也不像那些要求龐大贖金的變種，但歹徒已經達到目的。雖然贖金只有區區 12 美元，但這項攻擊行動在短短五週之內就獲利至少 30,000 美元，至少有 2,500 人受害。據統計，此惡意程式光在一個月前就從某個色情網站被下載了 137,000 次以上，絕大部分都是俄羅斯使用者。

金額不高，再加上付款方便，使得這項詐騙對受害者來說並不會造成太大麻煩。您會不會支付 12 美元來贖回自己的電腦？這在今日大概只不過是三杯拿鐵的價格而已，遠少於其他勒索軟體 Ransomware所要求的金額，因此受害者也就乾脆付款。

上述數據證明了勒索軟體 Ransomware的獲利潛力，很顯然地，誘騙使用者下載一個能夠鎖住其檔案或電腦以勒索贖金的惡意程式，可收到非常好的效果。這同時也證明了有效散布管道的價值。毫不諱言，這個案例證明了色情就是能夠吸引許多俄羅斯使用者上勾並自願下載惡意程式。

2012 年：青春期血氣方剛的恐嚇技倆

2012 年是勒索軟體 Ransomware的重要轉捩點，不僅在惡意手法與成效上皆更上層樓，而且也擴大了地理版圖。在這一年當中，勒索軟體 Ransomware改變了挾持檔案和電腦的手法以及要求贖金的方式。此外，也開始攻擊俄羅斯以外的目標。同樣在這一年中，勒索軟體也開始利用一些恐嚇技倆，例如 REVETON 勒索軟體就會假冒當地警察，其受害者遍及歐洲和美國。

REVETON 會讓使用者以為自己做了什麼違法的事 (例如安裝盜版軟體)，讓使用者即使不情願也會乖乖付款，歹徒會威脅使用者必須支付一筆罰款，不然就會被逮捕入獄。它會追蹤受害者系統所在的地理位置，然後發出以當地語言撰寫的勒索通知。勒索通知上還會有受害者當地執法機關 (在美國可能就是 FBI，在法國可能就是 Gendarme Nationale) 的標誌以取信於受害者，讓受害者心生恐懼而付款。

就算受害者有所懷疑而試圖忽略這項通知，他們還是可能要被迫支付高達 200 美元的罰款 (而且要利用 Ukash 之類的平台來匯款)，因為 REVETON 會將整台系統鎖住，讓電腦完全無法使用。

不僅如此，REVETON 家族還會透過遭到入侵的網站來散布，這一點也是勒索軟體新增的特點。

2013 年：加密手法日趨成熟

2013 年正式宣告今日最危險的勒索軟體 Ransomware降臨：Cryptolocker。此一變種除了會將整台系統鎖住讓它無法使用之外，還會採用一種不可逆的方式將檔案加密，讓受害者不支付贖金就不可能還原檔案。

它同時採用了兩道加密方法，第一道是使用 AES 加密來將受害系統上的檔案加密 (AES 是 Advanced Encryption Standard 進階加密標準的縮寫，採用單一金鑰來加密和解密)。若 Cryptolocker 只做了這道加密，那受害者只要找到那把加密金鑰就能解開檔案，而且這把金鑰本身就儲存在被加密的檔案當中。只要花點時間和精神，就有可能將資料還原而不必支付贖金。

不過，Cryptolocker 所做的當然不只這樣。它還利用了另一種方法來進行第二道加密：使用 RSA 加密來將前述的 AES 金鑰加密。RSA 是一種加密金鑰和解密金鑰不同的加密方法，此處，解密的金鑰掌握在網路犯罪集團手中，因此受害者不可能加以破解。基本上，感染 Cryptolocker 的使用者將被迫做出痛苦決擇：不是支付贖金就是損失一切。很不幸地，這不再是花 12 美元代價就能打發的小小困擾。這幫歹徒要求的贖金高達 300 美元。基本上，在毫無破解可能性的情況下，這可是相當昂貴的代價。

[圖文解說：看看勒索軟體如何感染系統並將資料加密 (See how ransomware infects systems and encrypts data)]

不僅如此，勒索軟體的散布方式在 2013 年也有新的發展。我們發現歹徒會利用垃圾郵件來散布 Cryptolocker，並且利用 UPATRE 和 ZBOT 惡意程式家族來滲透受害者的系統。後來，我們又發現一個專門利用隨身碟散布的變種，這和蠕蟲惡意程式的散布方式有雷同之處 (因此我們將它命名為 WORM_CRILOCK.A)。

[延伸閱讀：現代勒索軟體變種如何運作 (How modern ransomware variants work)]

2014 至 2015 年：加密勒贖軟體與數位貨幣

從此之後，勒索軟體的演進速度慢慢停滯下來，它們似乎是找到了一種「完美的形態」所以就一直保持原樣，不過這一路走來還是新增了幾樣功能。2014 年一開始就出現了 TROJ_CRYPTRBIT.H，這是一個功能上類似 Cryptolocker 的變種，但有一項不同之處：歹徒要求受害者使用數位貨幣比特幣 (Bitcoin) 來支付，而非一般利用轉帳匯款的方式。之後又陸續出現各種不同的「進化」，例如有一個變種 (CRIBIT) 會竊取受害者的比特幣錢包，另一個變種 (CTBLocker) 會使用黑暗網路 (Darknet) 瀏覽器來隱藏自己的行蹤。而最新的一個變種 (TorrentLocker) 則會將使用者重導至網路釣魚網站來感染使用者裝置，並且像一般網站一樣會要求使用者輸入圖片中的文字 (CAPTCHA) 讓使用者信以為真。

2014 至 2015 年的這段期間，我們也看到加密勒贖軟體開始將攻擊目標移轉至企業機構，例如 CryptoFortress 變種，它會將網路分享資料夾上的檔案加密，而 Ransomweb 則會將網站和網站伺服器加密。它們的運作方式並未改變，但影響的潛力卻更為龐大。家中電腦遭勒索軟體鎖住已經夠慘的了，因為使用者精心蒐集的音樂、珍貴的家庭照片，還有玩家長期累積的遊戲存檔，都可能一去不復返。但若勒索軟體 Ransomware將公司的電腦鎖住無法使用，很可能會讓企業因而營運中斷，這將是一場災難。

[延伸閱讀：加密勒贖軟體擴散至其他領域 (Crypto-ransomware spreads into new territories)]

2015 至今：期許一個沒有勒索軟體的未來

就各種惡意程式類型來看，勒索軟體就像毒蛇猛獸。一旦感染了新一代的變種，如 Torrentlocker 和 CTBLocker，那些擁有重要資料或者付不起贖金的使用者，很可能將面臨一場災難 (當然我們也不建議您支付贖金，因為這樣只會助長歹徒的惡劣行徑。)而我們至今仍缺乏絕對有效的解決方法來處理勒索軟體感染的問題。不過，您還是可以有效防止自己受到感染。

勒索軟體 Ransomware的解決和預防方法

感染勒索軟體 Ransomware的使用者，請依照下列步驟進行：