在出現勒索訊息之前,勒索病毒暗中做的四件事

勒索病毒：幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫，不僅危害一般的使用者，還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽，勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒，直到他們看到勒贖訊息突然出現在螢幕上，但那時為時已晚。

最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言

對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果，在受害者看到勒贖通知之前,這中間發生了什麼事？

1.往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內，通常是以可執行檔的格式。在Windows環境，惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾，原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載（隱藏式下載、偷渡式下載、強迫下載,網頁掛馬）攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床，紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。

2.連線到特定網站收發資訊

一旦惡意軟體進入系統，它會連上網路並且聯絡伺服器，在這個階段，勒索病毒跟命令和控制（C&C）伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡（趨勢科技偵測為RANSOM_POGOTEAR.A），惡意軟體連到特定網站來收發資訊。

3.搜尋特定類型的檔案進行加密

接著會進入受感染系統的資料夾，搜尋特定類型的檔案來進行加密，會被加密的檔案類型取決於勒索病毒家族 – 從確認要針對和免除的資料夾到檔案類型和副檔名。

會刪除鏡像檔案和備份的勒索病毒家族也會在加密過程前完成。

4.產生加密金鑰

在開始加密檔案前，勒索病毒會先產生用來加密的金鑰。

加密受感染系統檔案的方式根據勒索病毒家族的不同而有所分別 – 可能使用AES、RSA或合併使用等。加密檔案所需要花費的時間也會根據檔案數量、系統處理能力和加密方法而有所差異。

許多勒索病毒會建立自動啟動機制來繼續加密動作，以防加密過程因系統關機而中止。

5.告知勒贖要求和付款指示

對絕大多數的勒索病毒來說，出現勒贖通知代表檔案加密程序成功。有些是在加密過程完成後馬上出現，也有些會更改啟動磁區的勒索病毒會在系統重新啟動後出現訊息。有趣的是，有些勒索病毒甚至完全不會顯示勒贖通知，至少不會自動顯示，有些會在受影響的資料夾內產生勒贖通知或顯示HTML頁面告知勒贖要求和付款指示，螢幕鎖定勒索軟體會讓機器無法存取，顯示無法關閉的勒贖通知。

感染勒索病毒的可疑徵兆：

在七月發生的科羅拉多診所事件中，員工回報無法存取電腦內的檔案和文件。這讓IT部門因擔心網路遭受病毒攻擊而關閉伺服器，之後這診所的IT團隊發現了憋腳的勒索病毒感染的感染失敗證據，包括留在系統內的勒贖訊息，並且委託第三方網路安全團隊來對事件進行分析，不幸的是，並非所有的勒索病毒感染事件都可以如此輕鬆地處理。

勒索病毒行為依每個家族或變種而異，但也有些蛛絲馬跡可以讓使用者或IT管理員警覺到勒索病毒感染。例如，