為什麼勒索病毒一再得逞?其策略和作法不僅僅是加密

研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防遭到勒索病毒攻擊時能夠在短時間內回復重要檔案,這是個好方法嗎?

各行各業的大小企業要如何去準備對抗勒索病毒 Ransomware (勒索病毒/綁架病毒)攻擊？有一份最新的研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防真的遇到攻擊時能夠在短時間內回復重要檔案。雖然趨勢科技並不建議屈從於支付贖金，因為這無法保證能夠讓檔案救回，而且之後還可能容易被當成勒索病毒的攻擊目標，但我們也不能怪這些大型機構和企業會如此做。勒索病毒攻擊可能會中斷業務運作和生產力，並且會造成公司的信譽損害，這一切都是付款取得解密工具之外的損失。

為什麼勒索病毒仍然繼續?

為了避免成為勒索病毒的受害者，最好是能夠了解它如何運作以及它為什麼會成功。當然，社交工程誘餌和商業等級加密是讓勒索病毒攻擊成功的重大因素，但是除此之外，最近幾波的勒索病毒還採用了其他惡意軟體行為，雖然技術尚不完全成熟，但結合在一起時還是造成了更大的破壞，讓IT人員更加頭痛，也得花費更多時間和精力來解決問題。

試想一下，某公司接到消息稱他們的檔案連同最核心的資料都已經被加密，必須支付贖金才能夠取回，IT人員作了該做的事情，將網路切割並且將受感染系統從網路隔離，他接著試圖清理受感染電腦和回復檔案，但他遇到了一些挑戰。

舉例來說，勒索病毒家族常見的作法是會刪除陰影複製（Shadow Copy），這可以透過下列指令做到：

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

透過刪除陰影複製（Shadow Copy），它會移除檔案備份，讓你無法回復檔案，請注意，Windows 7和8作業系統加入了刪除陰影複製（Shadow Copy）功能；然而這在Windows 8使用者介面中看不到。CRYPWALL、Locky、CERBER和CRYPTESLA等變種會使用這種技術。

其他行為可以大致分類為：修改啟動程序、散播以及防偵測機制：

修改啟動程序

覆寫或抹除開機磁區（MBR）可能會導致系統無法啟動，這種功能會增加使用者進入安全模式來回復系統的難度，PETYA是具備此功能的一種勒索病毒，而MATSNU則會執行後門指令來抹除開機磁區及鎖住螢幕。

散播策略

因為勒索病毒使用了加密演算法，想要回復單一系統的檔案已經有難度了，更何況有些勒索病毒能夠透過外接式硬碟和網路共享來散播，讓其他重要資料也被加密。被稱為Zcryptor的勒索病毒（ZCRYPT加密勒索病毒）可以透過外接式硬碟及網路共享散播。

反偵測機制

看門狗程序常常被用來呼叫新的惡意軟體程序，複製合法的regsvr32.exe或rundll32.exe，並重新命名為svchost.exe就可以用來作為看門狗程序。當一個程序正在進行加密，另一個程序就會作為看門狗程序，另一種被勒索病毒用來避免偵測的技術是檢查自己是否在VMware環境中執行。

圖1、CryptXXX感染的程序樹（process tree），包括了看門狗程序

VIRLOCK利用多型加密技術來與其他勒索病毒做區隔，每次感染的加密金鑰都不同。如下所示，它也能插入隨機垃圾程式碼和API呼叫到受感染檔案，這兩種特性可以讓檔案偵測更加困難，並避免被輕易地模擬（emulation），它還會使用數層加密作為反偵測和反分析的技術。

圖2、VIRLOCK反偵測機制的程式碼片段

其他技術

其他讓勒索病毒得以持續下去的技術包括會檢查被感染系統所連接的網路或網路共享。一個例子是去年出現的CryptoFortress，CRYPWALL的版本三和四也可以列出所有磁碟及是否有連接的網路磁碟，好加密上面的檔案。

有些變種還會利用合法服務，像是PowerWare和POSHCODER會利用Windows PowerShell功能，其他行為包括首見於CryptoLocker用來連接C&C伺服器的網域生成演算法（DGA），而像CryptXXX還會竊取資訊，讓攻擊者可以在地下市場兜售好賺取更多錢。

IT管理員也會發現，當攻擊者利用漏洞來散播威脅時，就很難遏制勒索病毒感染，像是SAMSAM就會利用這一點，攻擊者利用Jexboss漏洞攻擊來透過有弱點的伺服器滲透網路並散播此種勒索病毒，此外，感染文件和多媒體檔案也讓清除變得很困難：其中一個例子是VIRLOCK。

多層次的防禦

由於很不容易取回檔案加上其他可能的傷害，有些公司會選擇付錢，而付錢的風險是你可能會收到更多的勒索病毒垃圾郵件，因為你已經被認定為會付錢的客戶。當你的檔案被加密，攻擊者通常會指定ID給專屬的解密網頁，而且他們還有方法可以追踪點擊或打開附件的電子郵件地址。

了解勒索病毒能夠幫助企業保護自己的環境，強烈建議要做好檔案備份，但這並非萬無一失/唯一的解決方案，因為有些變種還可以加密備份，企業和中小企業所需要的是多層次防禦，可以從端點到網路和伺服器的整體環境的防護。

趨勢科技透過多層次防護來保護組織免於勒索病毒所帶來的危險，我們強大的端點解決方案，趨勢科技Smart Protection Suites可以透過行為監控、應用程式控制和漏洞防護來發現並阻止惡意行為和活動進行，我們的防勒索病毒功能可以主動偵測和封鎖勒索病毒執行，也因此不會讓檔案被加密，威脅也不會擴散至網路內的其他系統或進入伺服器。

但不只是要保護端點系統，最好可以在接觸層就能夠阻止勒索病毒 – 網頁和電子郵件，根據我們的最新研究，勒索病毒有96%以上可以在電子郵件和網頁層被阻止。企業可以利用趨勢科技的Deep Discovery Email Inspector來封鎖和偵測勒索病毒相關電子郵件，包括惡意的附件檔，其客製化沙箱技術也可以偵測利用巨集的勒索病毒變種，在此解決方案內的IP和網頁信譽評比技術也可以在電子郵件和網頁層解決勒索病毒風險。

關於網路防護，趨勢科技的Deep Discovery Inspector可以透過惡意軟體沙箱模擬和網路掃描功能來偵測和封鎖網路上的勒索病毒，此外，我們的產品也可以防止橫向移動到網路的其他部分。

由於類似SAMSAM的勒索病毒會對伺服器所造成的危險，趨勢科技Deep Security和其漏洞防護可以阻止此類勒索病毒進入伺服器 – 無論是實體、虛擬或雲端。

對於中小企業，趨勢科技的Worry-Free Pro透過Hosted Email Security來提供基於雲端的電子郵件閘道安全，它的端點防護也提供了如行為監控和即時網頁信譽評比技術等多項功能來偵測和封鎖勒索病毒。

對於家庭用戶，趨勢科技PC-cillin雲端版提供了強大防護來對抗勒索病毒，能夠封鎖與勒索病毒威脅相關的惡意網站、電子郵件和檔案。

使用者也可以利用我們的免費工具，如趨勢科技的螢幕鎖定勒索病毒移除工具，可以用來偵測和移除螢幕鎖定勒索病毒；還有趨勢科技加密勒索病毒檔案解密工具，可以解密特定加密勒索病毒所加密的檔案而無須支付贖金或使用解密金鑰。

＠原文出處：Why Ransomware Works: Tactics and Routines Beyond Encryption

作者：Rhena Inocencio、Anthony Melgarejo和Jon Oliver

大型企業》
中小企業》
一般用戶》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》